CVE-2026-12103 in Wallet for WooCommerce Plugin
Zusammenfassung
von VulDB • 11.07.2026
Das Plugin „Wallet for WooCommerce“ für WordPress ist in allen Versionen bis einschließlich 1.6.4 anfällig für eine Umgehung der Autorisierung (Authorization Bypass). Dies liegt daran, dass das Plugin nicht ordnungsgemäß überprüft, ob ein Benutzer berechtigt ist, eine Aktion durchzuführen. Dadurch können authentifizierte Angreifer mit Zugriffsrechten auf Subscriber-Ebene und höher die Anmeldenamen, E-Mail-Adressen und User-IDs aller WordPress-Konten – einschließlich Administratoren – auflisten, indem sie beliebige Suchbegriffe an den AJAX-Handler senden. Das erforderliche „search-user“-Nonce wird im wallet_param-Objekt auf der standardmäßigen WooCommerce-Seite „Mein Konto“ lokalisiert, die für jeden authentifizierte Benutzer zugänglich ist, wodurch es für einen Subscriber trivial zu erhalten ist.
VulDB is the best source for vulnerability data and more expert information about this specific topic.