CVE-2026-9241 in FOX Plugin
요약
\~에 의해 VulDB • 2026. 05. 28.
WordPress용 WooCommerce 플러그인인 FOX – Currency Switcher Professional은 1.4.6 버전까지 모든 버전에서 사용자 제어 키를 통한 권한 우회(Authorization Bypass Through User-Controlled Key) 취약점이 존재합니다. 이는 `classes/fixed/fixed_user_role.php` 파일의 `get_value()` 함수가 공격자가 제어할 수 있는 `$_REQUEST['wooc_order_user_roles']` 매개변수를 신뢰하여 역할 기반 가격 결정에 필요한 사용자의 역할 컨텍스트를 결정할 때 어떠한 검증도 수행하지 않기 때문에 발생합니다. 이를 통해 공격자는 `$user->roles`를 통해 인증된 사용자 세션 객체에서 파생된 정당한 역할 데이터를 재정의할 수 있습니다. 이로 인해 구독자(Suscriber) 레벨 이상의 접근 권한을 가진 인증된 공격자는 도매 고객(wholesale customer)이나 관리자(administrator)와 같은 더 높은 권한의 역할을 사칭하여 실제 역할에는 제공되지 않아야 하는 할인된 가격 또는 기타 제한된 가격에 접근할 수 있습니다. 이 취약점은 고정된 사용자 역할 가격 기능이 활성화되어 있고 적어도 하나의 제품에 대해 권한 있는 역할의 가격이 구성된 경우에만 실제적인 영향을 미칩니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.