CVE-2026-12103 in Wallet for WooCommerce Plugininfo

Zusammenfassung

von VulDB • 11.07.2026

Das Plugin „Wallet for WooCommerce“ für WordPress ist in allen Versionen bis einschließlich 1.6.4 anfällig für eine Umgehung der Autorisierung (Authorization Bypass). Dies liegt daran, dass das Plugin nicht ordnungsgemäß überprüft, ob ein Benutzer berechtigt ist, eine Aktion durchzuführen. Dadurch können authentifizierte Angreifer mit Zugriffsrechten auf Subscriber-Ebene und höher die Anmeldenamen, E-Mail-Adressen und User-IDs aller WordPress-Konten – einschließlich Administratoren – auflisten, indem sie beliebige Suchbegriffe an den AJAX-Handler senden. Das erforderliche „search-user“-Nonce wird im wallet_param-Objekt auf der standardmäßigen WooCommerce-Seite „Mein Konto“ lokalisiert, die für jeden authentifizierte Benutzer zugänglich ist, wodurch es für einen Subscriber trivial zu erhalten ist.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

Wordfence

Reservieren

12.06.2026

Veröffentlichung

11.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377762

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!