WCFM - WooCommerce Frontend Manager <= 6.7.25 - Insecure Direct Object References naar Geauthenticeerde (Vendor+) Arbitraire Post/Product Manipulatie

De WCFM – Frontend Manager voor WooCommerce en Bookings Subscription Listings Compatible plugin voor WordPress is kwetsbaar voor Insecure Direct Object Reference in alle versies tot en met 6.7.25 via meerdere AJAX acties, waaronder `wcfm_modify_order_status`, `delete_wcfm_article`, `delete_wcfm_product`, en de artikel management controller, als gevolg van ontbrekende validatie op door de gebruiker aangeleverde object ID's. Dit maakt het mogelijk voor geauthenticeerde aanvallers, met Vendor-niveau toegang en hoger, om de status van elke order te wijzigen, elke post/product/pagina te verwijderen of te wijzigen, ongeacht het eigendom.