Plataforma
wordpress
Componente
wc-frontend-manager
Corrigido em
6.7.26
A vulnerabilidade CVE-2026-4896 é uma falha de Insecure Direct Object Reference (IDOR) encontrada no plugin WCFM – Frontend Manager for WooCommerce para WordPress, juntamente com o plugin Bookings Subscription Listings Compatible. Essa falha permite que atacantes autenticados com acesso de nível Vendor ou superior modifiquem ou excluam dados, independentemente da propriedade, através de ações AJAX como wcfmmodifyorder_status. As versões afetadas incluem todas as versões até e incluindo 6.7.25, sendo corrigida na versão 6.7.26.
A vulnerabilidade CVE-2026-4896 afeta o plugin WCFM – Frontend Manager for WooCommerce e o plugin compatível Bookings Subscription Listings para WordPress. Trata-se de uma falha de Referência Direta Insegura de Objetos (IDOR). Atacantes autenticados, com acesso de nível 'Vendor' (vendedor), podem potencialmente manipular ou excluir dados sensíveis, como pedidos, artigos e produtos, sem a devida autorização. A vulnerabilidade reside na falta de validação adequada dos IDs de objeto fornecidos pelo usuário em várias ações AJAX, incluindo wcfmmodifyorderstatus, deletewcfmarticle, deletewcfm_product e o controlador de gestão de artigos. Isso permite que um atacante, uma vez autenticado como vendedor, acesse e modifique recursos que não lhe pertencem, comprometendo a integridade e a confidencialidade dos dados da loja WooCommerce.
Um atacante com acesso de nível 'Vendor' em um site WordPress que utiliza WCFM pode explorar esta vulnerabilidade. O atacante poderia, por exemplo, modificar o status de um pedido que não lhe pertence, excluir artigos ou produtos que não criou, ou até mesmo acessar informações confidenciais através do controlador de gestão de artigos. A exploração requer autenticação, mas não requer privilégios de administrador. A simplicidade da exploração, combinada com a popularidade do plugin WCFM, torna esta vulnerabilidade um risco significativo para os sites WooCommerce.
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
A solução para esta vulnerabilidade é atualizar o plugin WCFM – Frontend Manager for WooCommerce para a versão 6.7.26 ou superior. Esta atualização inclui as correções necessárias para validar adequadamente os IDs de objeto fornecidos pelo usuário, mitigando o risco de exploração. Administradores de sites WordPress que utilizam WCFM são fortemente aconselhados a atualizar o plugin o mais rápido possível para proteger suas lojas WooCommerce de possíveis ataques. Além disso, revise as permissões do usuário e garanta que os papéis de 'Vendor' tenham acesso limitado às funções que podem ser exploradas. Monitorar os registros do servidor em busca de atividades suspeitas também pode ajudar a detectar e responder a possíveis tentativas de exploração.
Atualizar para a versão 6.7.26, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
IDOR significa Insecure Direct Object Reference (Referência Direta Insegura de Objetos). Ocorre quando uma aplicação utiliza diretamente um identificador fornecido pelo usuário para acessar um objeto interno, sem verificar se o usuário está autorizado a acessar esse objeto.
No contexto de WCFM, 'Vendor' refere-se a um usuário com um papel específico que permite gerenciar produtos e pedidos dentro de uma loja WooCommerce.
Se não puder atualizar imediatamente, considere restringir o acesso às funções AJAX vulneráveis através de regras de firewall ou implementando controles de acesso adicionais.
Embora não existam ferramentas específicas para esta vulnerabilidade, você pode usar scanners de segurança web que procuram padrões de IDOR ou realizar testes de segurança manuais.
Mantenha o WordPress, os plugins e os temas atualizados, use senhas fortes, implemente um firewall web e faça backups regulares do seu site.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.