CVE-2026-28557

Nome do Software Vulnerável e Versões Afetadas wpForo Forum versão 2.4.14

Descrição Existe uma vulnerabilidade no wpForo Forum que permite a usuários autenticados realizar a reatribuição em massa de grupos de usuários do wpForo. Isso é possível devido à ausência de uma verificação de capacidades no handler AJAX wpforo synch roles. Um atacante pode obter um nonce da página de administração de grupos de usuários, que é acessível a qualquer usuário autenticado, e então remapear todos os grupos de usuários do wpForo para funções arbitrárias do WordPress. O componente vulnerável é o handler wpforo synch roles.

Recomendações Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o acesso ao handler AJAX wpforo synch roles até que um patch esteja disponível.