Platform
wordpress
Component
wc-frontend-manager
Opgelost in
6.7.26
Een Insecure Direct Object Reference (IDOR) kwetsbaarheid is ontdekt in de WCFM – Frontend Manager for WooCommerce plugin voor WordPress, met name in de Bookings Subscription Listings Compatible plugin. Deze kwetsbaarheid stelt geauthenticeerde aanvallers met Vendor-niveau toegang of hoger in staat om ongeautoriseerd orders te wijzigen of data te verwijderen via AJAX acties zoals wcfmmodifyorder_status. De kwetsbaarheid is van toepassing op versies van de plugin tot en met 6.7.25. Een patch is beschikbaar in versie 6.7.26.
CVE-2026-4896 treft de WCFM – Frontend Manager for WooCommerce plugin en de compatibele Bookings Subscription Listings plugin voor WordPress. Dit is een Insecure Direct Object Reference (IDOR) kwetsbaarheid. Geauthenticeerde aanvallers, met Vendor-niveau toegang, kunnen potentieel gevoelige data manipuleren of verwijderen, zoals bestellingen, artikelen en producten, zonder de juiste autorisatie. De kwetsbaarheid ligt in het ontbreken van de juiste validatie van door de gebruiker verstrekte object-ID's in verschillende AJAX-acties, waaronder wcfmmodifyorderstatus, deletewcfmarticle, deletewcfm_product en de artikelbeheercontroller. Dit stelt een aanvaller, eenmaal geauthenticeerd als een Vendor, in staat om toegang te krijgen tot en resources te wijzigen waarvoor ze niet geautoriseerd zijn, waardoor de integriteit en vertrouwelijkheid van de WooCommerce winkelgegevens in gevaar komt.
Een aanvaller met Vendor-niveau toegang op een WordPress-site die WCFM gebruikt, kan deze kwetsbaarheid misbruiken. De aanvaller zou bijvoorbeeld de status van een bestelling kunnen wijzigen waar ze niet de eigenaar van zijn, artikelen of producten kunnen verwijderen die ze niet hebben gemaakt, of zelfs toegang krijgen tot gevoelige informatie via de artikelbeheercontroller. Exploitatie vereist authenticatie, maar vereist geen administratorrechten. De eenvoud van exploitatie, in combinatie met de populariteit van de WCFM plugin, maakt deze kwetsbaarheid tot een aanzienlijk risico voor WooCommerce-sites.
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is het updaten van de WCFM – Frontend Manager for WooCommerce plugin naar versie 6.7.26 of hoger. Deze update bevat de nodige fixes om door de gebruiker verstrekte object-ID's correct te valideren, waardoor het risico op uitbuiting wordt verminderd. WordPress-sitebeheerders die WCFM gebruiken, worden ten zeerste aangeraden om de plugin zo snel mogelijk te updaten om hun WooCommerce-winkels te beschermen tegen potentiële aanvallen. Bovendien moeten gebruikersrechten worden bekeken en ervoor worden gezorgd dat Vendor-rollen een beperkte toegang hebben tot functies die kunnen worden misbruikt. Het monitoren van serverlogs op verdachte activiteiten kan ook helpen om potentiële uitpinningspogingen te detecteren en erop te reageren.
Update naar versie 6.7.26, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
IDOR stands for Insecure Direct Object Reference. It occurs when an application uses a user-supplied identifier directly to access an internal object without verifying whether the user is authorized to access that object.
In the context of WCFM, 'Vendor' refers to a specific user role that allows managing products and orders within a WooCommerce store.
If you can't update immediately, consider restricting access to the vulnerable AJAX functions through firewall rules or by implementing additional access controls.
While there are no specific tools for this vulnerability, you can use web security scanners that look for IDOR patterns or perform manual security testing.
Keep WordPress, plugins, and themes updated, use strong passwords, implement a web application firewall, and perform regular backups of your site.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.