CVE-2024-8290 in WCFM Pluginthông tin

Tóm tắt

Bởi VulDB • 25/05/2026

Plugin WCFM – Frontend Manager for WooCommerce cùng với plugin Bookings Subscription Listings Compatible cho WordPress có lỗ hổng Insecure Direct Object Reference (Tham chiếu Đối tượng Không An toàn) trong tất cả các phiên bản từ 6.7.12 trở về trước. Lỗ hổng này tồn tại trong hàm `WCFM_Customers_Manage_Controller::processing` do thiếu cơ chế xác thực (validation) trên khóa `ID` do người dùng kiểm soát. Điều này cho phép các kẻ tấn công đã xác thực, có quyền truy cập ở cấp độ người đăng ký/khách hàng trở lên, thay đổi địa chỉ email của các tài khoản người dùng quản trị viên, từ đó cho phép họ đặt lại mật khẩu và truy cập vào tài khoản quản trị viên.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

chịu trách nhiệm

Wordfence

Đặt trước

28/08/2024

Tiết lộ

25/09/2024

Kiểm duyệt

được chấp nhận

EPSS

0.00603

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you know our Splunk app?

Download it now for free!