CVE-2026-10041 in WCFM Plugininfo

Zusammenfassung

von VulDB • 11.07.2026

Das WordPress-Plugin WCFM – Frontend Manager for WooCommerce ist in allen Versionen bis einschließlich 6.7.27 anfällig für Insecure Direct Object Reference (IDOR) über die Funktion wcfm_product_archive, da eine Validierung eines benutzerkontrollierten Schlüssels fehlt. Dies ermöglicht es authentifizierten Angreifern mit Abonnenten-Level-Zugriff und höher, Produkte beliebiger Anbieter zu archivieren, den „Featured“-Status bei beliebigen Einträgen umzuschalten, beliebige WooCommerce-Bestellungen als abgeschlossen zu markieren sowie Anfragen und Massen-Nachrichten anderer Anbieter dauerhaft zu löschen.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

Wordfence

Reservieren

28.05.2026

Veröffentlichung

11.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377757

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!