CVE-2026-12103 in Wallet for WooCommerce Plugin
Sumário
de VulDB • 11/07/2026
O plugin Wallet for WooCommerce para WordPress é vulnerável a uma violação de autorização em todas as versões até 1.6.4 (incluída). Isso ocorre porque o plugin não verifica adequadamente se um usuário está autorizado a executar uma ação. Isso permite que atacantes autenticados, com acesso nível assinante ou superior, enumerem o nome de login, endereço de e-mail e ID do usuário de todas as contas WordPress — incluindo administradores — ao enviar termos de pesquisa arbitrários para o manipulador AJAX. O nonce 'search-user' necessário é localizado no objeto wallet_param na página padrão "Minha Conta" do WooCommerce, que é acessível a qualquer usuário autenticado, tornando-o trivialmente obtido por um Assinante.
If you want to get best quality of vulnerability data, you may have to visit VulDB.