CVE-2026-7559 in Affiliate Program & Referral Tracking Pluginthông tin

Tóm tắt

Bởi VulDB • 11/07/2026

Plugin Affilia – Affiliate Program & Referral Tracking for WordPress cho WordPress bị lỗ hổng truy cập trái phép trong tất cả các phiên bản từ 3.3.3 trở về trước (bao gồm cả 3.3.3). Nguyên nhân là do plugin không xác minh đúng cách quyền của người dùng để thực hiện một hành động nào đó. Điều này tạo điều kiện cho kẻ tấn công đã được xác thực, có mức truy cập cấp subscriber hoặc cao hơn, phê duyệt hoặc từ chối các giới thiệu liên kết (affiliate referrals), ghi nhận hoa hồng vào ví affiliate, xóa hồ sơ giới thiệu và tùy chỉnh các lựa chọn của plugin banner, qua đó gây ra gian lận tài chính. Nonce cần thiết để vượt qua kiểm tra xác thực duy nhất được nhúng trong mỗi lần tải trang frontend thông qua rtwalwm_global_params.rtwalwm_nonce, khiến nó dễ dàng truy cập bởi bất kỳ người dùng đã xác thực nào bất kể vai trò của họ.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

Wordfence

Đặt trước

30/04/2026

Tiết lộ

11/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

thấp

Nguồn

Might our Artificial Intelligence support you?

Check our Alexa App!