WCFM - WooCommerce Frontend Manager <= 6.7.25 - प्रमाणित (विक्रेता+) के लिए असुरक्षित प्रत्यक्ष वस्तु संदर्भ, मनमाना पोस्ट/उत्पाद हेरफेर

WooCommerce के लिए WCFM – Frontend Manager और Bookings Subscription Listings संगत प्लगइन WordPress में असुरक्षित प्रत्यक्ष वस्तु संदर्भ (Insecure Direct Object Reference) से कमजोर है, सभी संस्करणों में 6.7.25 सहित, कई AJAX क्रियाओं के माध्यम से, जिनमें `wcfm_modify_order_status`, `delete_wcfm_article`, `delete_wcfm_product`, और लेख प्रबंधन नियंत्रक शामिल हैं, क्योंकि उपयोगकर्ता द्वारा आपूर्ति किए गए वस्तु आईडी (object IDs) पर सत्यापन की कमी है। यह प्रमाणित हमलावरों को, विक्रेता-स्तर की पहुंच और उससे ऊपर, किसी भी ऑर्डर की स्थिति को संशोधित करने, किसी भी पोस्ट/उत्पाद/पृष्ठ को हटाने या संशोधित करने की अनुमति देता है, स्वामित्व की परवाह किए बिना।