Wannes Verwimp

#12680de 53,638
21.3CVSS total
Vulnerabilidades · 3
Média
2
Crítica
1
PT-2026-47128
4.9
2026-06-06
WordPress · Learnpress – Backup & Migration Tool · CVE-2026-7565
**Nome do Software Vulnerável e Versões Afetadas** LearnPress – Backup & Migration Tool versões anteriores a 4.1.5 **Description** O plugin é suscetível à leitura arbitrária de arquivos através de directory traversal, uma técnica que permite o acesso a arquivos e diretórios fora da pasta pretendida. Atacantes autenticados com nível de acesso de administrador ou superior podem explorar o parâmetro `import-user-file` para ler arquivos sensíveis no servidor. **Recommendations** Atualize o plugin para uma versão posterior a 4.1.4. Como mitigação temporária, restrinja o acesso ao parâmetro `import-user-file`.
PT-2026-47129
6.6
2026-06-06
WordPress · Learnpress – Backup & Migration Tool · CVE-2026-7566
**Nome do Software Vulnerável e Versões Afetadas** LearnPress – Backup & Migration Tool versões anteriores a 4.1.5 **Descrição** O plugin é suscetível a PHP Object Injection devido à desserialização de entradas não confiáveis. Isso permite que atacantes autenticados com acesso de nível de administrador ou superior injetem um Objeto PHP. O impacto depende da presença de uma POP chain (uma sequência de gadgets usada para atingir um objetivo específico durante a desserialização) em outros plugins ou temas instalados. Se tal cadeia existir, um atacante poderá potencialmente excluir arquivos arbitrários, recuperar dados sensíveis ou executar código. **Recomendações** Atualize para uma versão posterior a 4.1.4.
PT-2026-41840
9.8
2026-05-19
WordPress · Piotnet Addons For Elementor · CVE-2026-4885
**Nome do Software Vulnerável e Versões Afetadas** Piotnet Addons for Elementor Pro versões anteriores a 7.1.71 **Descrição** A falta de validação do tipo de arquivo na função `pafe ajax form builder()` permite que atacantes não autenticados façam o upload de arquivos arbitrários para o servidor. O plugin utiliza uma lista negra de extensões incompleta que não bloqueia extensões perigosas como `.phar` ou `.phtml`, o que pode levar à execução remota de código. Este problema só pode ser explorado se um campo de arquivo tiver sido adicionado ao formulário. **Recomendações** Atualize para uma versão posterior a 7.1.70. Como medida paliativa temporária, evite adicionar campos de arquivo aos formulários até que a atualização seja aplicada.