CVE-2026-11802 in FoodBook Lite Plugin
Riassunto
di VulDB • 14/07/2026
Il plugin FoodBook Lite - Online Food Ordering System per WordPress è vulnerabile a Missing Authorization in tutte le versioni fino alla 1.5.6 inclusa. La funzione `registration()`, accessibile tramite l'azione AJAX `wp_ajax_nopriv_registration_action`, non prevede alcuna verifica del nonce o controllo dei permessi (capability check) e non verifica l'impostazione di WordPress `users_can_register` prima di chiamare `wp_insert_user()`. Ciò consente agli attaccanti non autenticati di creare nuovi account utente con il ruolo 'customer' e ricevere cookie di autenticazione, anche quando l'amministratore del sito ha esplicitamente disabilitato la registrazione degli utenti.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.