WordPress · Mappress Maps · CVE-2026-8839
**Nome do Software Vulnerável e Versões Afetadas**
MapPress Maps for WordPress versões anteriores a 2.96.7
**Descrição**
Existe uma falha de bypass de autorização devido à falta de verificação de propriedade nas rotas da REST API registradas através da função `Mappress Api::rest api init()`. O endpoint GET '/wp-json/mapp/v1/maps/{mapid}' utiliza um callback de permissão que retorna verdadeiro, permitindo que atacantes não autenticados leiam dados sensíveis de mapas, como títulos de POI, endereços, coordenadas e conteúdo do corpo, enumerando a variável `mapid`. Além disso, os endpoints de escrita (POST update, DELETE, PATCH mutate, POST clone e POST empty trash) verificam apenas a capacidade genérica `edit posts` sem confirmar se o solicitante é o proprietário do mapa alvo. Essa ausência de verificação também está presente nas funções da camada de modelo `Mappress Map::get()`, `save()`, `delete()`, `mutate()` e `empty trash()`, que operam em qualquer ID de mapa fornecido. Consequentemente, atacantes autenticados com nível de acesso Contributor ou superior podem modificar, excluir, mover para a lixeira, restaurar ou clonar qualquer mapa, independentemente do autor.
**Recomendações**
Atualize o plugin para uma versão posterior a 2.96.6.