CVE-2026-7559 in Affiliate Program & Referral Tracking Plugin
요약
\~에 의해 VulDB • 2026. 07. 11.
WordPress용 Affilia – Affiliate Program & Referral Tracking 플러그인은 3.3.3 버전까지 모든 버전에서 무단 접근에 취약합니다. 이는 플러그인이 사용자가 작업을 수행할 권한이 있는지 적절하게 검증하지 않기 때문입니다. 이로 인해 구독자 수준 이상의 액세스 권한을 가진 인증된 공격자는 제휴 추천 승인 또는 거절, 제휴 지갑에 수수료 크레딧 부여, 추천 기록 삭제 및 사용자 정의 배너 플러그인 옵션 수정 등을 수행하여 금융 사기를 저지를 수 있습니다. 유일한 인증 검사를 통과하는 데 필요한 nonce는 rtwalwm_global_params.rtwalwm_nonce를 통해 모든 프론트엔드 페이지 로딩 시 임베딩되므로, 역할(role)에 관계없이 모든 인증된 사용자에게 쉽게 접근 가능합니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.