CVE-2026-7559 in Affiliate Program & Referral Tracking Plugin
Riassunto
di VulDB • 11/07/2026
Il plugin WordPress Affilia – Affiliate Program & Referral Tracking for WordPress è vulnerabile ad accesso non autorizzato in tutte le versioni fino alla 3.3.3 inclusa. La vulnerabilità deriva dal fatto che il plugin non verifica correttamente l'autorizzazione dell'utente a eseguire un'azione. Ciò consente agli attaccanti autenticati, con livello di accesso pari o superiore a quello degli abbonati (subscriber), di approvare o rifiutare i referral affiliati, accreditare le commissioni sui portafogli affiliati, eliminare i record dei referral e modificare le opzioni personalizzate del plugin per i banner, consentendo così frodi finanziarie. Il nonce richiesto per superare l'unica verifica di autenticazione è incorporato in ogni caricamento della pagina frontend tramite rtwalwm_global_params.rtwalwm_nonce, rendendolo facilmente accessibile a qualsiasi utente autenticato indipendentemente dal ruolo assegnato.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.