CVE-2026-4896

Name of the Vulnerable Software and Affected Versions WCFM – Frontend Manager for WooCommerce along with Bookings Subscription Listings Compatible plugin for WordPress versões até e incluindo 6.7.25

Description O WCFM – Frontend Manager for WooCommerce junto com o plugin Bookings Subscription Listings Compatible para WordPress é suscetível a Insecure Direct Object Reference em múltiplas ações AJAX, incluindo wcfm modify order status, delete wcfm article e delete wcfm product, bem como no controlador de gerenciamento de artigos. Isso ocorre devido à falta de validação em IDs de objeto fornecidos pelo usuário. Atacantes autenticados com acesso de nível de Fornecedor ou superior podem modificar o status de qualquer pedido e excluir ou modificar qualquer postagem, produto ou página, independentemente da propriedade.

Recommendations Atualize o WCFM – Frontend Manager for WooCommerce junto com o plugin Bookings Subscription Listings Compatible para WordPress para uma versão posterior a 6.7.25.