CVE-2026-2554

Nome do Software Vulnerável e Versões Afetadas WCFM – Frontend Manager for WooCommerce along with Bookings Subscription Listings Compatible plugin for WordPress versões anteriores a 6.7.26

Descrição Uma Referência Direta Insegura a Objeto (IDOR) existe devido à falta de validação na chave controlada pelo usuário customerid dentro da função 'wcfm delete wcfm customer'. Isso permite que atacantes autenticados com nível de acesso de Vendedor ou superior excluam usuários arbitrários, incluindo Administradores. IDOR é um tipo de falha de controle de acesso que ocorre quando uma aplicação fornece acesso direto a objetos com base em entradas fornecidas pelo usuário.

Recomendações Atualize o plugin para uma versão posterior a 6.7.25.