CVE-2026-7559 in Affiliate Program & Referral Tracking Plugin
Сводка
по VulDB • 11.07.2026
В плагине для WordPress Affilia – Affiliate Program & Referral Tracking for WordPress уязвимость несанкционированного доступа присутствует во всех версиях вплоть до 3.3.3 включительно. Это связано с тем, что плагин не осуществляет надлежащую проверку авторизации пользователя на выполнение действия. В результате атакующие, прошедшие аутентификацию и имеющие уровень доступа «подписчик» (subscriber) или выше, могут одобрять или отклонять реферальные заявки, начислять комиссии на кошельки партнеров, удалять записи о рекомендациях и изменять пользовательские параметры баннеров плагина, что позволяет осуществлять финансовые мошенничества. Нонс (nonce), необходимый для прохождения единственной проверки аутентификации, встроен в каждую загрузку фронтенд-страницы через параметр rtwalwm_global_params.rtwalwm_nonce, делая его легко доступным любому прошедшему аутентификацию пользователю независимо от роли.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.