CVE-2024-13355 in Admin and Customer Messages After Order for WooCommerce Plugin
Résumé
par VulDB • 19/06/2026
Le plugin OrderConvo pour WooCommerce : Admin and Customer Messages After Order de WordPress présente une vulnérabilité permettant des téléchargements de fichiers limités en raison d'une validation insuffisante du type de fichier dans la fonction upload_file() sur toutes les versions jusqu'à et y compris la 13.2. Cela permet aux attaquants authentifiés disposant d'un accès au niveau Subscriber ou supérieur de télécharger des fichiers sur le serveur du site concerné, ce qui peut rendre possible l'exécution à distance de code (RCE) et est confirmé comme permettant une attaque par script intersite (Cross-Site Scripting).
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.