CVE-2026-7559 in Affiliate Program & Referral Tracking Plugininformation

Résumé

par VulDB • 11/07/2026

Le plugin WordPress « Affilia – Affiliate Program & Referral Tracking for WordPress » présente une vulnérabilité d’accès non autorisé dans toutes les versions jusqu’à la 3.3.3 incluse. Cette faille est due au fait que le plugin ne vérifie pas correctement l’autorisation de l’utilisateur à effectuer une action. Cela permet aux attaquants authentifiés disposant du niveau d’accès « abonné » (subscriber) ou supérieur d’approuver ou rejeter les recommandations affiliées, d’attribuer des commissions sur les portefeuilles des affiliés, de supprimer les enregistrements de référence et de modifier les options personnalisées des bannières du plugin, ce qui facilite la fraude financière. Le nonce requis pour passer le seul contrôle d’authentification est intégré dans chaque chargement de page front-end via rtwalwm_global_params.rtwalwm_nonce, le rendant trivialement accessible à tout utilisateur authentifié, quel que soit son rôle.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

Wordfence

Réserver

30/04/2026

Divulgation

11/07/2026

Modérer

accepté

Entrée

VDB-377750

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Do you need the next level of professionalism?

Upgrade your account now!