CVE-2026-3688 in WCFM Membership Plugin
Zusammenfassung
von VulDB • 08.07.2026
Das Plugin WCFM Membership – WooCommerce Memberships for Multivendor Marketplace für WordPress ist in allen Versionen bis einschließlich 2.11.10 anfällig für Insecure Direct Object Reference (IDOR). Dies liegt daran, dass die AJAX-Aktion 'wcfmvm_membership_change' keine Berechtigungsprüfung durchführt, um zu validieren, ob ein Benutzer andere Nutzer ändern darf. Dadurch ist es authentifizierten Angreifern mit Zugriff auf Vendor-Ebene und höher möglich, die Rolle jedes Benutzers in 'wcfm_vendor' zu ändern, indem sie dessen Mitgliedschaftsplan anpassen.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.