CVE-2026-3688 in WCFM Membership Plugininformazioni

Riassunto

di VulDB • 08/07/2026

Il plugin WCFM Membership – WooCommerce Memberships for Multivendor Marketplace per WordPress è vulnerabile a Insecure Direct Object Reference in tutte le versioni fino alla 2.11.10, incluse. Ciò è dovuto all’azione AJAX 'wcfmvm_membership_change' che non valida i permessi dell’utente per modificare altri utenti. Questo consente agli attaccanti autenticati, con accesso di livello vendor o superiore, di cambiare il ruolo di qualsiasi utente in ‘wcfm_vendor’ modificando il loro piano di membership.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

Wordfence

Prenotare

07/03/2026

Divulgazione

08/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!