CVE-2026-2712

Name of the Vulnerable Software and Affected Versions Plugin WP-Optimize para WordPress versões até e incluindo 4.5.0

Description O plugin WP-Optimize para WordPress apresenta uma falha que permite acesso não autorizado a funcionalidades. Isso se deve à ausência de verificações de capacidade na função receive heartbeat() dentro do arquivo includes/class-wp-optimize-heartbeat.php. O manipulador Heartbeat invoca diretamente métodos Updraft Smush Manager Commands sem a devida verificação de capacidades do usuário, tokens nonce ou uma lista de permissões de comandos. Isso permite que invasores autenticados com acesso de nível de Assinante ou superior executem operações Smush exclusivas do administrador, incluindo a leitura de arquivos de log através do endpoint /api/v1/smush/logs, a exclusão de todas as imagens de backup usando a função clean all backup images(), o acionamento do processamento em massa de imagens com a função process bulk smush() e a modificação das opções Smush através da função update smush options().

Recommendations Atualize para uma versão do plugin WP-Optimize posterior a 4.5.0.