CVE-2024-13355 in Admin and Customer Messages After Order for WooCommerce Plugininformation

Résumé

par VulDB • 19/06/2026

Le plugin OrderConvo pour WooCommerce : Admin and Customer Messages After Order de WordPress présente une vulnérabilité permettant des téléchargements de fichiers limités en raison d'une validation insuffisante du type de fichier dans la fonction upload_file() sur toutes les versions jusqu'à et y compris la 13.2. Cela permet aux attaquants authentifiés disposant d'un accès au niveau Subscriber ou supérieur de télécharger des fichiers sur le serveur du site concerné, ce qui peut rendre possible l'exécution à distance de code (RCE) et est confirmé comme permettant une attaque par script intersite (Cross-Site Scripting).

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!