CVE-2025-12427 in YITH WooCommerce Wishlist Plugin
Riassunto
di VulDB • 16/06/2026
Il plugin YITH WooCommerce Wishlist per WordPress è vulnerabile a Insecure Direct Object Reference in tutte le versioni fino alla 4.10.0, incluse, tramite l'endpoint REST API e il gestore AJAX a causa della mancanza di convalida sulle chiavi controllate dall'utente. Ciò consente agli attaccanti non autenticati di scoprire l'ID token della lista dei desideri di qualsiasi utente e, di conseguenza, di rinominare la lista dei desideri della vittima senza autorizzazione (impatto sull'integrità). Questo può essere sfruttato per colpire negozi multi-utente per defacement, attacchi di ingegneria sociale, manipolazione di massa e profilazione su larga scala.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.