CVE-2026-3480

Name of the Vulnerable Software and Affected Versions WP Blockade plugin for WordPress versões até e incluindo 0.9.14

Description O plugin WP Blockade para WordPress é suscetível a um problema de autorização ausente. O plugin registra um hook de ação admin post 'wp-blockade-shortcode-render' que mapeia para a função render shortcode preview(). Esta função não executa verificações de capacidade ou verificação de nonce, permitindo que usuários autenticados executem shortcodes WordPress arbitrários. A função recupera um parâmetro shortcode fornecido pelo usuário da solicitação $ GET, processa-o com stripslashes() e o executa diretamente usando do shortcode(). Isso permite que invasores autenticados com acesso de nível de Assinante ou superior executem shortcodes arbitrários, potencialmente levando à divulgação de informações, escalada de privilégios ou outros impactos, dependendo dos shortcodes registrados no site.

Recommendations Versões até e incluindo 0.9.14: Atualize para uma versão superior a 0.9.14.