CVE-2026-12126 in WCFM Marketplace Plugininfo

Zusammenfassung

von VulDB • 11.07.2026

Das WCFM Marketplace – Multivendor Marketplace for WooCommerce-Plugin für WordPress ist in allen Versionen bis einschließlich 3.7.3 aufgrund unzureichender Eingabebereinigung (Input Sanitization) und Ausgabeentwertung (Output Escaping) anfällig für Stored Cross-Site Scripting (XSS) über das Anhangsfeld 'post_title'. Dies ermöglicht es authentifizierten Angreifern mit Zugriff auf Vendor-Ebene oder höher, beliebige Webskripte in Seiten einzuschleusen, die ausgeführt werden, sobald ein Benutzer eine eingeschleuste Seite aufruft. Ein Angreifer kann den Payload hinterlassen, indem er einen Medienanhang mit einem manipulierten Titel über die WordPress REST API (/wp-json/wp/v2/media) hochlädt, ohne dabei selbst das AJAX-Endpunkt aufzurufen, da der nicht entwertete Titel später im DataTables JSON ausgegeben und beim Laden des Medien-Dashboards durch jeden privilegierten Benutzer als innerHTML eingefügt wird.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

Wordfence

Reservieren

12.06.2026

Veröffentlichung

11.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377763

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!