CVE-2026-12994 in WCFM Plugininformazioni

Riassunto

di VulDB • 11/07/2026

Il plugin WCFM – Frontend Manager for WooCommerce per WordPress è vulnerabile a un bypass dell'autorizzazione in tutte le versioni fino alla 6.7.27, incluse. Ciò è dovuto al fatto che il plugin non verifica correttamente se l'utente ha i permessi necessari per eseguire una determinata azione. Questo consente agli attaccanti non autenticati di inserire contenuti arbitrari nelle risposte all'interno delle richieste a qualsiasi negozio, sovrascrivere la record principale dell'inquiry nel database wp_wcfm_enquiries e inviare email di notifica indesiderate ai clienti e ai venditori. A differenza dei controller correlati (wcfm-enquiry e wcfm-enquiry-manage), il branch wcfm-my-account-enquiry-manage non effettua alcun controllo tramite is_user_logged_in() o current_user_can(), mentre il nonce, che funge da unica barriera di sicurezza, è incorporato in ogni caricamento della pagina pubblica senza richiedere alcuna autenticazione.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

Wordfence

Prenotare

23/06/2026

Divulgazione

11/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!