PT-2026-31079 · WordPress · Mainwp Child Reports
Hunter Jensen
·
Publicado
2026-04-08
·
Atualizado
2026-04-13
·
CVE-2026-4299
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Name of the Vulnerable Software and Affected Versions
MainWP Child Reports versões até e incluindo 2.2.6
Description
O plugin MainWP Child Reports para WordPress possui uma verificação de autorização ausente na função
heartbeat received() dentro da classe Live Update. Isso permite que invasores autenticados com acesso de nível de Assinante ou superior recuperem entradas de log de atividade do MainWP Child Reports, incluindo resumos de ações, informações do usuário, endereços IP e dados contextuais, por meio da API Heartbeat do WordPress, enviando uma solicitação heartbeat criada com a chave de dados wp-mainwp-stream-heartbeat.Recommendations
Atualize o MainWP Child Reports para uma versão posterior à 2.2.6.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mainwp Child Reports