CVE-2026-4880

Name of the Vulnerable Software and Affected Versions Barcode Scanner (+Mobile App) – Inventory manager, Order fulfillment system, POS (Point of Sale) plugin for WordPress versões anteriores a 1.11.1

Description A autenticação baseada em token insegura permite que invasores não autenticados escalem privilégios para administrador. O problema decorre do fato de o plugin confiar em um ID de usuário codificado em Base64 fornecido pelo usuário no parâmetro token para identificar usuários. Além disso, tokens de autenticação válidos são vazados através da ação 'barcodeScannerConfigs', e a ação 'setUserMeta' carece de restrições de meta-key. Um invasor pode falsificar o ID de usuário de um administrador para vazar seu token de autenticação e, posteriormente, usar esse token para atualizar a meta wp capabilities de qualquer usuário para obter acesso administrativo total.

Recommendations Atualize para uma versão posterior a 1.11.0.