CVE-2026-3595

Name of the Vulnerable Software and Affected Versions Riaxe Product Customizer versões anteriores a 2.1.3

Description Existe uma falha de bypass de autorização devido ao registro de uma rota de API REST ''/wp-json/InkXEProductDesignerLite/customer/delete customer'' sem um callback de permissão. Essa configuração permite acesso não autenticado à função inkxe delete customer(), que processa um array de IDs de usuário do corpo da requisição e os passa para wp delete user() sem realizar verificações de autenticação ou autorização. Consequentemente, atacantes não autenticados podem excluir contas de usuários arbitrárias do WordPress, incluindo contas de administrador, resultando no bloqueio completo do site e perda de dados.

Recommendations Atualize para uma versão posterior a 2.1.2. Como medida paliativa temporária, restrinja o acesso ao endpoint ''/wp-json/InkXEProductDesignerLite/customer/delete customer''.