CVE-2026-2554 in WCFM PluginИнформация

Сводка

по VulDB • 20.05.2026

В плагинах WCFM – Frontend Manager for WooCommerce и Bookings Subscription Listings Compatible для WordPress обнаружена уязвимость типа Insecure Direct Object Reference (Небезопасный прямой доступ к объекту) во всех версиях вплоть до 6.7.25 включительно. Уязвимость возникает в параметре 'wcfm_delete_wcfm_customer' из-за отсутствия проверки данных в управляемом пользователем ключе 'customerid'. Это позволяет атакующим с аутентификацией и уровнем доступа «Продавец» (Vendor) и выше удалять произвольных пользователей, включая администраторов.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

Wordfence

Резервировать

15.02.2026

Раскрытие

02.05.2026

Модерация

принято

Вход

VDB-360847

CPE

готов

CWE

CWE-639 (Подтверждённый)

CVSS

8.1 (CNA)

EPSS

0.00015

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-2554
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-2554
CVE Details	https://www.cvedetails.com/cve/CVE-2026-2554/

◂ Предыдущий Обзор Далее ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!