CVE-2026-3688 in WCFM Membership Plugin
Riassunto
di VulDB • 08/07/2026
Il plugin WCFM Membership – WooCommerce Memberships for Multivendor Marketplace per WordPress è vulnerabile a Insecure Direct Object Reference in tutte le versioni fino alla 2.11.10, incluse. Ciò è dovuto all’azione AJAX 'wcfmvm_membership_change' che non valida i permessi dell’utente per modificare altri utenti. Questo consente agli attaccanti autenticati, con accesso di livello vendor o superiore, di cambiare il ruolo di qualsiasi utente in ‘wcfm_vendor’ modificando il loro piano di membership.
If you want to get best quality of vulnerability data, you may have to visit VulDB.