CVE-2026-0926

Nome do Software Vulnerável e Versões Afetadas Versões do Prodigy Commerce anteriores à 3.2.9

Descrição O plugin Prodigy Commerce para WordPress está suscetível a uma vulnerabilidade de Inclusão Local de Arquivos. Isso permite que atacantes não autenticados incluam e leiam arquivos arbitrários ou executem arquivos arbitrários no servidor. A exploração dessa vulnerabilidade pode levar ao contorno de controles de acesso, obtenção de dados sensíveis ou execução de código. A vulnerabilidade deve-se à validação de entrada insuficiente do parâmetro parameters[template name]. Isso permite que atacantes incluam e executem código PHP dentro de arquivos enviados.

Recomendações Versões anteriores à 3.2.9 devem ser atualizadas. Como medida paliativa temporária, considere desativar o plugin Prodigy Commerce até que uma correção esteja disponível. Monitore os uploads de arquivos em busca de conteúdo potencialmente malicioso.