CVE-2026-3688 in WCFM Membership Plugininfo

Zusammenfassung

von VulDB • 08.07.2026

Das Plugin WCFM Membership – WooCommerce Memberships for Multivendor Marketplace für WordPress ist in allen Versionen bis einschließlich 2.11.10 anfällig für Insecure Direct Object Reference (IDOR). Dies liegt daran, dass die AJAX-Aktion 'wcfmvm_membership_change' keine Berechtigungsprüfung durchführt, um zu validieren, ob ein Benutzer andere Nutzer ändern darf. Dadurch ist es authentifizierten Angreifern mit Zugriff auf Vendor-Ebene und höher möglich, die Rolle jedes Benutzers in 'wcfm_vendor' zu ändern, indem sie dessen Mitgliedschaftsplan anpassen.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

Wordfence

Reservieren

07.03.2026

Veröffentlichung

08.07.2026

Moderieren

akzeptiert

Eintrag

VDB-376825

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!