CVE-2026-1321

Nome do Software Vulnerável e Versões Afetadas Versões do Restrict Content anteriores à 3.2.21

Descrição O plugin Restrict Content para WordPress possui uma falha que permite escalonamento de privilégios não autorizado. A função rcp setup registration init() manipula incorretamente o parâmetro POST rcp level, não verificando a atividade do nível de associação ou os requisitos de pagamento. Isso, combinado com o método add user role(), permite que atacantes se registrem com qualquer nível de associação, potencialmente obtendo funções privilegiadas do WordPress, como Administrador, ou acionando cobranças para níveis pagos. Uma correção parcial foi implementada na versão 3.2.18, mas o problema persistiu até a versão 3.2.20, inclusive.

Recomendações Atualize para a versão 3.2.21 ou superior.