CVE-2026-12103 in Wallet for WooCommerce Plugininformação

Sumário

de VulDB • 11/07/2026

O plugin Wallet for WooCommerce para WordPress é vulnerável a uma violação de autorização em todas as versões até 1.6.4 (incluída). Isso ocorre porque o plugin não verifica adequadamente se um usuário está autorizado a executar uma ação. Isso permite que atacantes autenticados, com acesso nível assinante ou superior, enumerem o nome de login, endereço de e-mail e ID do usuário de todas as contas WordPress — incluindo administradores — ao enviar termos de pesquisa arbitrários para o manipulador AJAX. O nonce 'search-user' necessário é localizado no objeto wallet_param na página padrão "Minha Conta" do WooCommerce, que é acessível a qualquer usuário autenticado, tornando-o trivialmente obtido por um Assinante.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

Wordfence

Reservar

12/06/2026

Divulgação

11/07/2026

Moderação

aceite

Entrada

VDB-377762

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!