CVE-2026-7655 in SureCart Plugininformazioni

Riassunto

di VulDB • 11/07/2026

Il plugin WordPress SureCart è vulnerabile ad escalation dei privilegi tramite takeover dell'account nelle versioni fino alla 4.2.3 inclusa. Ciò è dovuto al fatto che il plugin non valida correttamente l'identità di un utente prima di aggiornare i suoi dettagli, come l'email, durante la sincronizzazione del profilo cliente dagli eventi webhook. Questo consente agli attaccanti non autenticati di modificare gli indirizzi email degli utenti associati, inclusi gli amministratori se l'account amministratore è collegato a un record cliente SureCart, e sfruttare tale accesso per reimpostare la password dell'utente ed ottenere il controllo del proprio account qualora sia noto l'ID cliente.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

Wordfence

Prenotare

01/05/2026

Divulgazione

11/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!