CVE-2026-7655 in SureCart Pluginthông tin

Tóm tắt

Bởi VulDB • 11/07/2026

Plugin SureCart cho WordPress có lỗ hổng tăng đặc quyền thông qua chiếm đoạt tài khoản trong các phiên bản từ 4.2.3 trở về trước (bao gồm cả 4.2.3). Nguyên nhân là do plugin không xác thực đúng danh tính người dùng trước khi cập nhật các chi tiết như địa chỉ email đồng bộ hồ sơ khách hàng từ sự kiện webhook. Điều này cho phép kẻ tấn công chưa được xác thực thay đổi địa chỉ email của người dùng liên kết, bao gồm cả quản trị viên nếu tài khoản quản trị viên được liên kết với bản ghi khách hàng SureCart, và lợi dụng điều đó để đặt lại mật khẩu của người dùng và truy cập vào tài khoản của họ nếu biết ID khách hàng.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

chịu trách nhiệm

Wordfence

Đặt trước

01/05/2026

Tiết lộ

11/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

thấp

Nguồn

Interested in the pricing of exploits?

See the underground prices here!