WCFM - WooCommerce Frontend Manager <= 6.7.25 - Referências Diretas de Objetos Inseguras para Autenticados (Vendor+) Manipulação Arbitrária de Post/Produto

O WCFM – Frontend Manager para WooCommerce, juntamente com o plugin Bookings Subscription Listings Compatível para WordPress, é vulnerável a Referência Direta de Objetos Insegura em todas as versões até e incluindo 6.7.25 através de múltiplas ações AJAX, incluindo `wcfm_modify_order_status`, `delete_wcfm_article`, `delete_wcfm_product`, e o controlador de gerenciamento de artigos, devido à falta de validação nos IDs de objetos fornecidos pelo usuário. Isso torna possível para atacantes autenticados, com acesso de nível Vendor ou superior, modificar o status de qualquer pedido, excluir ou modificar qualquer post/produto/página, independentemente da propriedade.