Vulnerabilidad en WCFM Marketplace (CVE-2026-1722)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
10/02/2026
Última modificación:
10/02/2026
Descripción
El plugin WCFM Marketplace – Multivendor Marketplace para WooCommerce para WordPress es vulnerable a Referencia Directa Insegura a Objeto en todas las versiones hasta la 3.7.0, inclusive. Esto se debe a que el plugin no implementa comprobaciones de autorización en el controlador AJAX 'wcfm-refund-requests-form'. Esto hace posible que atacantes no autenticados creen solicitudes de reembolso arbitrarias para cualquier ID de pedido y ID de artículo, lo que podría provocar pérdidas financieras si la aprobación automática de reembolsos está habilitada en la configuración del plugin.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/wc-multivendor-marketplace/tags/3.7.0/core/class-wcfmmp-refund.php#L235
- https://plugins.trac.wordpress.org/browser/wc-multivendor-marketplace/trunk/core/class-wcfmmp-refund.php#L235
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&new=3455829%40wc-multivendor-marketplace/trunk&old=3424081%40wc-multivendor-marketplace/trunk
- https://www.wordfence.com/threat-intel/vulnerabilities/id/d39ec46d-58c4-40e4-b94a-e7a9fc99291a?source=cve