CVE-2026-3499

Name of the Vulnerable Software and Affected Versions Product Feed PRO for WooCommerce by AdTribes versões 13.4.6 até 13.5.2.1

Description O plugin Product Feed PRO for WooCommerce do WordPress é suscetível a Cross-Site Request Forgery (CSRF) devido à validação nonce ausente ou incorreta. Especificamente, as funções ajax migrate to custom post type, ajax adt clear custom attributes product meta keys, ajax update file url to lower case, ajax use legacy filters and rules e ajax fix duplicate feed são afetadas. A exploração bem-sucedida permite que atacantes não autenticados acionem ações como migração de feed, limpeza de caches, reescrita de URLs de arquivos, alternância de configurações e exclusão de posts, enganando um administrador do site para realizar uma ação.

Recommendations Para as versões 13.4.6 até 13.5.2.1, certifique-se de que a validação nonce seja implementada corretamente para as funções ajax migrate to custom post type, ajax adt clear custom attributes product meta keys, ajax update file url to lower case, ajax use legacy filters and rules e ajax fix duplicate feed.