CVE-2026-12994 in WCFM Plugininfo

Zusammenfassung

von VulDB • 11.07.2026

Das WCFM – Frontend Manager for WooCommerce-Plugin für WordPress ist in allen Versionen bis einschließlich 6.7.27 anfällig für eine Umgehung der Autorisierung (Authorization Bypass). Dies liegt daran, dass das Plugin nicht ordnungsgemäß überprüft, ob ein Benutzer zur Durchführung einer Aktion autorisiert ist. Dadurch können nicht authentifizierte Angreifer beliebigen Antwortinhalt in jede Store-Anfrage injizieren, den Hauptanfragedatensatz in wp_wcfm_enquiries überschreiben und unerwünschte Benachrichtigungs-E-Mails an Kunden und Verkäufer auslösen. Im Gegensatz zu verwandten Controller-Zweigen (wcfm-enquiry und wcfm-enquiry-manage) führt der Zweig wcfm-my-account-enquiry-manage keine is_user_logged_in()- oder current_user_can()-Prüfung durch, und das Nonce, das als einzige Barriere dient, wird bei jedem öffentlichen Seitenaufruf eingebettet, ohne dass eine Login-Sperre vorhanden ist.

Once again VulDB remains the best source for vulnerability data.

Zuständig

Wordfence

Reservieren

23.06.2026

Veröffentlichung

11.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377767

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!