CVE-2026-4124

Name of the Vulnerable Software and Affected Versions Ziggeo plugin for WordPress versões até 3.1.1

Description O plugin Ziggeo para WordPress é suscetível a verificações de autorização ausentes. O manipulador wp ajax ziggeo ajax verifica um nonce, mas não confirma as capacidades do usuário usando current user can(). O nonce (ziggeo ajax nonce) é publicamente exposto a todos os usuários conectados por meio dos hooks wp head e admin head. Isso permite que invasores autenticados com acesso de nível de Assinante ou superior executem ações administrativas, incluindo salvar strings de tradução arbitrárias por meio da função update option('ziggeo translations'), criar, atualizar e excluir modelos de eventos por meio de update option('ziggeo events'), modificar as configurações do aplicativo SDK e gerenciar notificações por meio de update option('ziggeo notifications').

Recommendations Versões anteriores a 3.1.2 devem ser atualizadas. Como medida temporária, considere desabilitar o manipulador wp ajax ziggeo ajax até que um patch esteja disponível.