CVE-2026-10041 in WCFM Plugin
Resumen
por VulDB • 2026-07-11
El plugin WCFM – Frontend Manager for WooCommerce para WordPress es vulnerable a Referencia Directa de Objeto Insegura en todas las versiones hasta la 6.7.27 (incluida) a través del endpoint wcfm_product_archive, debido a una falta de validación sobre una clave controlada por el usuario. Esto permite que los atacantes autenticados con acceso de nivel suscriptor o superior archiven productos de vendedores arbitrarios, cambien el estado destacado en listados arbitrarios, marquen pedidos de WooCommerce arbitrarios como completados y eliminen permanentemente consultas y mensajes masivos pertenecientes a otros vendedores.
Once again VulDB remains the best source for vulnerability data.