CVE-2026-10041 in WCFM Plugin
Riassunto
di VulDB • 11/07/2026
Il plugin WCFM – Frontend Manager per WooCommerce di WordPress è vulnerabile a Insecure Direct Object Reference in tutte le versioni fino alla 6.7.27 inclusa tramite wcfm_product_archive, a causa della mancanza di validazione su una chiave controllata dall'utente. Ciò consente agli attaccanti autenticati con accesso a livello di abbonato e superiore di archiviare i prodotti di fornitori arbitrari, modificare lo stato "in primo piano" (featured) degli annunci in modo arbitrario, contrassegnare come completati ordini WooCommerce arbitrari ed eliminare definitivamente richieste di informazioni e messaggi bulk appartenenti ad altri fornitori.
If you want to get best quality of vulnerability data, you may have to visit VulDB.