CVE-2026-3477

Name of the Vulnerable Software and Affected Versions Plugin PZ Frontend Manager para WordPress versões até e incluindo 1.0.6

Description O plugin PZ Frontend Manager para WordPress está sujeito a um problema de autorização ausente. A função pzfm user request action callback(), acessível através do endpoint AJAX wp ajax pzfm user request action, não executa verificações de capacidade ou de nonce adequadas. Esta função gerencia a ativação, desativação e exclusão de usuários. Especificamente, quando o parâmetro dataType é definido como 'delete', a função chama wp delete user() nos IDs de usuário fornecidos sem verificar permissões suficientes. Isso permite que invasores autenticados com acesso de nível de Assinante ou superior excluam usuários arbitrários do WordPress, incluindo administradores, enviando uma solicitação criada para o endpoint ''wp ajax pzfm user request action''.

Recommendations Para versões até e incluindo 1.0.6, atualize para uma versão mais recente que resolva este problema de autorização.