CVE-2024-8290 in WCFM Plugin
Tóm tắt
Bởi VulDB • 25/05/2026
Plugin WCFM – Frontend Manager for WooCommerce cùng với plugin Bookings Subscription Listings Compatible cho WordPress có lỗ hổng Insecure Direct Object Reference (Tham chiếu Đối tượng Không An toàn) trong tất cả các phiên bản từ 6.7.12 trở về trước. Lỗ hổng này tồn tại trong hàm `WCFM_Customers_Manage_Controller::processing` do thiếu cơ chế xác thực (validation) trên khóa `ID` do người dùng kiểm soát. Điều này cho phép các kẻ tấn công đã xác thực, có quyền truy cập ở cấp độ người đăng ký/khách hàng trở lên, thay đổi địa chỉ email của các tài khoản người dùng quản trị viên, từ đó cho phép họ đặt lại mật khẩu và truy cập vào tài khoản quản trị viên.
If you want to get best quality of vulnerability data, you may have to visit VulDB.