PT-2026-57412 · WordPress · Wcfm Marketplace

Nadir Şensoy

·

Publicado

2026-07-11

·

Atualizado

2026-07-11

·

CVE-2026-12126

CVSS v3.1

6.4

Média

VetorAV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas WCFM Marketplace – Multivendor Marketplace for WooCommerce versões anteriores a 3.7.4
Descrição A sanitização insuficiente de entrada e a falta de escape de saída permitem que atacantes autenticados com nível de acesso de Vendedor ou superior realizem Stored Cross-Site Scripting. Um atacante pode injetar scripts web arbitrários ao fazer o upload de um anexo de mídia com um post title manipulado através do endpoint da API REST do WordPress '/wp-json/wp/v2/media'. O título não tratado é posteriormente emitido dentro do JSON do DataTables e inserido como innerHTML sempre que um usuário privilegiado carrega o painel de mídia, fazendo com que o script seja executado no navegador do usuário.
Recomendações Atualize o WCFM Marketplace – Multivendor Marketplace for WooCommerce para a versão 3.7.4 ou posterior.

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-12126

Produtos afetados

Wcfm Marketplace