CVE-2026-12103 in Wallet for WooCommerce Plugin
要約
〜によって VulDB • 2026年07月11日
WordPress用「Wallet for WooCommerce」プラグインには、1.6.4を含むすべてのバージョンにおいて、認可回避の脆弱性が存在します。これは、ユーザーがアクションを実行する権限を持っているかどうかをプラグインが適切に検証しないことに起因します。これにより、サブスクライバーレベル以上のアクセス権を持つ認証済み攻撃者は、AJAXハンドラーに対して任意の検索キーワードを送信することで、管理者を含むすべてのWordPressアカウント(ログイン名、メールアドレス、およびユーザーID)を列挙することが可能になります。必要な'search-user' nonceは、標準的なWooCommerce「マイアカウント」ページ上のwallet_paramオブジェクトにローカライズされており、このページには認証済みユーザーであれば誰でもアクセスできるため、サブスクライバーであっても容易に取得可能です。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.