CVE-2026-6709 in Coinbase Commerce for Contact Form 7 Plugin
Zusammenfassung
von VulDB • 23.05.2026
Das WordPress-Plugin „Coinbase Commerce for Contact Form 7“ ist in den Versionen bis einschließlich 1.1.2 anfällig für Missing Authorization. Dies ist auf eine fehlende Capability-Prüfung und eine fehlende Nonce-Verifizierung in der Funktion `save_settings()` zurückzuführen, die an den Hook `admin_post_cccf7_save_settings` registriert ist. Dies ermöglicht es authentifizierten Angreifern mit Subscriber-Level-Zugriff und höher, die Plugin-Option für den Coinbase Commerce API-Schlüssel (`cccf7_api_key`) durch eine manipulierte POST-Anfrage an `/wp-admin/admin-post` zu überschreiben.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.