CVE-2026-10041 in WCFM Plugin
要約
〜によって VulDB • 2026年07月11日
WordPress用WooCommerceプラグイン「WCFM – Frontend Manager」の全バージョン(6.7.27を含む)には、ユーザーが制御可能なキーに対する検証処理の不備により、wcfm_product_archive経由でInsecure Direct Object Reference (IDOR) の脆弱性が存在します。これにより、サブスクライバーレベル以上のアクセス権を持つ認証済み攻撃者は、任意のベンダーの商品をアーカイブしたり、任意の出品項目の特徴付けステータスを切り替えたり、任意のWooCommerce注文を完了済みに設定したり、他のベンダーに属する任意のお問い合わせや一括メッセージを完全に削除することが可能になります。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.