CVE-2025-11920

Nome do Software Vulnerável e Versões Afetadas Versões do WPCOM Member anteriores à 1.7.15

Descrição O plugin WPCOM Member para WordPress está suscetível a Inclusão Local de Arquivos. Esta vulnerabilidade afeta versões até à 1.7.14 inclusive e é acionada através do parâmetro action dentro de um shortcode. Atacantes autenticados com acesso de nível de Contribuidor ou superior podem explorar essa falha para incluir e executar arquivos .php arbitrários no servidor. A exploração bem-sucedida permite a execução de código PHP, potencialmente permitindo que os atacantes contornem controles de acesso e obtenham dados sensíveis. A vulnerabilidade pode levar à execução de código se o upload de arquivos .php estiver permitido. O parâmetro vulnerável é action.

Recomendações Atualize o WPCOM Member para a versão 1.7.15 ou superior.