CVE-2026-1926 in Subscriptions for WooCommerce Plugininformación

Resumen

por MITRE • 2026-03-18

El plugin Subscriptions for WooCommerce para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidad en la función `wps_sfw_admin_cancel_susbcription()` en todas las versiones hasta la 1.9.2, inclusive. Esto se debe a que la función está enganchada a la acción `init` sin ninguna verificación de autenticación o autorización, y solo realiza una verificación de no-vacío en el parámetro nonce sin validarlo realmente a través de `wp_verify_nonce()`. Esto hace posible que atacantes no autenticados cancelen cualquier suscripción activa de WooCommerce enviando una solicitud GET manipulada con un valor nonce arbitrario a través del parámetro `wps_subscription_id`.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-02-04

Divulgación

2026-03-18

Moderación

aceptado

Artículo

VDB-351467

CPE

listo

EPSS

0.00244

KEV

no

Actividades

muy bajo

Sector

Telecommunication, Transportation, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-1926
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-1926
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-1926/

AnteriorVisión De ConjuntoPróximo

Might our Artificial Intelligence support you?

Check our Alexa App!