CVE-2026-3138

Name of the Vulnerable Software and Affected Versions Product Filter for WooCommerce by WBW versões anteriores a 3.1.3

Description A ausência de uma verificação de capacidade permite que atacantes não autenticados causem a perda não autorizada de dados. O framework MVC do plugin registra dinamicamente manipuladores AJAX não autenticados via hooks wp ajax nopriv sem verificar as capacidades do usuário. Isso é combinado com o método mágico call() do controlador base, que encaminha chamadas de métodos indefinidos para a camada de modelo, enquanto o método havePermissions() assume true por padrão quando nenhuma permissão é explicitamente definida. Um atacante pode truncar a tabela de banco de dados wp wpf filters enviando uma requisição AJAX manipulada para o endpoint utilizando a variável action definida como 'delete', resultando na destruição permanente de todas as configurações de filtro.

Recommendations Atualizar para uma versão posterior a 3.1.2.