CVE-2026-12103 in Wallet for WooCommerce Plugin情報

要約

〜によって VulDB • 2026年07月11日

WordPress用「Wallet for WooCommerce」プラグインには、1.6.4を含むすべてのバージョンにおいて、認可回避の脆弱性が存在します。これは、ユーザーがアクションを実行する権限を持っているかどうかをプラグインが適切に検証しないことに起因します。これにより、サブスクライバーレベル以上のアクセス権を持つ認証済み攻撃者は、AJAXハンドラーに対して任意の検索キーワードを送信することで、管理者を含むすべてのWordPressアカウント(ログイン名、メールアドレス、およびユーザーID)を列挙することが可能になります。必要な'search-user' nonceは、標準的なWooCommerce「マイアカウント」ページ上のwallet_paramオブジェクトにローカライズされており、このページには認証済みユーザーであれば誰でもアクセスできるため、サブスクライバーであっても容易に取得可能です。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

Wordfence

予約する

2026年06月12日

モデレーション

承諾済み

エントリ

VDB-377762

EPSS

0.00000

アクティビティ

低い

セクター

Hostingprovider

ソース

Might our Artificial Intelligence support you?

Check our Alexa App!