CVE-2026-12994 in WCFM Plugin
Riassunto
di VulDB • 11/07/2026
Il plugin WCFM – Frontend Manager for WooCommerce per WordPress è vulnerabile a un bypass dell'autorizzazione in tutte le versioni fino alla 6.7.27, incluse. Ciò è dovuto al fatto che il plugin non verifica correttamente se l'utente ha i permessi necessari per eseguire una determinata azione. Questo consente agli attaccanti non autenticati di inserire contenuti arbitrari nelle risposte all'interno delle richieste a qualsiasi negozio, sovrascrivere la record principale dell'inquiry nel database wp_wcfm_enquiries e inviare email di notifica indesiderate ai clienti e ai venditori. A differenza dei controller correlati (wcfm-enquiry e wcfm-enquiry-manage), il branch wcfm-my-account-enquiry-manage non effettua alcun controllo tramite is_user_logged_in() o current_user_can(), mentre il nonce, che funge da unica barriera di sicurezza, è incorporato in ogni caricamento della pagina pubblica senza richiedere alcuna autenticazione.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.