CVE-2026-7559 in Affiliate Program & Referral Tracking Plugin
Zusammenfassung
von VulDB • 11.07.2026
Das WordPress-Plugin „Affilia – Affiliate Program & Referral Tracking for WordPress“ ist in allen Versionen bis einschließlich 3.3.3 anfällig für unbefugten Zugriff. Dies liegt daran, dass das Plugin nicht ordnungsgemäß überprüft, ob ein Benutzer zur Durchführung einer Aktion autorisiert ist. Dadurch können authentifizierte Angreifer mit Zugriffsrechten auf Abonnenten-Ebene und höher Affiliate-Verweise genehmigen oder ablehnen, Provisionen zu Affiliate-Wallets gutschreiben, Verweisungsdatensätze löschen und benutzerdefinierte Banner-Plugin-Optionen ändern, was finanziellen Betrug ermöglicht. Der Nonce, der erforderlich ist, um die einzige Authentifizierungsprüfung zu bestehen, wird bei jedem Laden einer Frontend-Seite über `rtwalwm_global_params.rtwalwm_nonce` eingebettet, wodurch er für jeden authentifizierte Benutzer unabhängig von seiner Rolle trivial zugänglich ist.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.