Teemu Saarentaus

#7689de 53,638
35.8CVSS total
Vulnerabilidades · 4
Alta
1
Crítica
3
PT-2026-23272
7.2
2026-03-05
Unknown · Josh Kohlbach Wholesale Suite · CVE-2026-27541
**Name of the Vulnerable Software and Affected Versions** Josh Kohlbach Wholesale Suite versions through 2.2.6 **Description** An incorrect privilege assignment exists in Josh Kohlbach Wholesale Suite woocommerce-wholesale-prices, potentially allowing privilege escalation. **Recommendations** Update Josh Kohlbach Wholesale Suite to a version later than 2.2.6.
PT-2026-22097
9
2026-02-25
Rymera Web Co Pty · Woocommerce Wholesale Lead Capture · CVE-2026-27540
**Name of the Vulnerable Software and Affected Versions** Woocommerce Wholesale Lead Capture versions through 2.0.3.1 **Description** The software contains an unrestricted file upload issue that allows the use of malicious files. This allows for potential webshell deployment. The issue involves the ability to upload files without proper restrictions, potentially leading to compromise. **Recommendations** Update Woocommerce Wholesale Lead Capture to a version later than 2.0.3.1.
PT-2026-22098
9.8
2026-02-25
Rymera Web Co Pty · Woocommerce Wholesale Lead Capture · CVE-2026-27542
**Name of the Vulnerable Software and Affected Versions** Woocommerce Wholesale Lead Capture versions through 2.0.3.1 **Description** An incorrect privilege assignment exists in Woocommerce Wholesale Lead Capture, allowing privilege escalation. Exploitation of this issue does not require authentication and could lead to unauthorized access and manipulation of user roles. The vulnerability stems from incorrect logical operations in the code that grant excessive permissions to users. **Recommendations** Versions prior to 2.0.3.1 should be updated.
PT-2026-2847
9.8
2026-01-14
Unknown · Modular Ds · CVE-2026-23550
**Nome do Software Vulnerável e Versões Afetadas** Versões do Modular DS até a 2.5.1 **Descrição** Existe uma vulnerabilidade crítica no plugin WordPress Modular DS que permite a atacantes não autenticados obter acesso administrativo aos sites afetados. Esta falha, rastreada como CVE-2026-23550, deve-se a um mecanismo de controle de acesso quebrado, decorrente de lógica de roteamento e autenticação incorreta. Especificamente, o tratamento do modo de "requisição direta" pelo plugin permite que atacantes contornem a verificação criptográfica e acessem rotas sensíveis, como `/api/modular-connector/`, levando à emissão de cookies de sessão de administrador sem autenticação adequada. Isso permite que atacantes façam login como administradores e potencialmente assumam o controle total do site, incluindo a capacidade de criar novos usuários administradores, injetar plugins maliciosos, roubar dados ou depredar o site. A vulnerabilidade está sendo ativamente explorada na natureza, com tentativas de exploração observadas pela primeira vez em 13 de janeiro de 2026. Estima-se que mais de 40.000 instalações do WordPress estejam em risco. A vulnerabilidade é desencadeada pela manipulação de parâmetros de URL, contornando efetivamente a barreira de autenticação. O componente vulnerável é a lógica de roteamento dentro do plugin, especificamente a função `isDirectRequest()`. **Recomendações** Atualize o Modular DS para a versão 2.5.2 ou mais recente. Regenere os salts do WordPress após atualizar para a versão 2.5.2. Monitore os logs do WordPress em busca de solicitações de rota direta suspeitas e sessões de administrador inesperadas.