CVE-2026-3596

Name of the Vulnerable Software and Affected Versions Riaxe Product Customizer versões anteriores a 2.1.3

Description O plugin contém uma falha de escalonamento de privilégios devido a uma ação AJAX não autenticada ''wp ajax nopriv install-imprint'' que mapeia para a função ink pd add option(). Esta função processa as variáveis option e opt value de $ POST e executa delete option() e add option() usando esses valores sem verificação de nonce, verificações de capacidade ou uma lista de permissões de nomes de opções. Atacantes não autenticados podem atualizar opções arbitrárias do WordPress, o que pode ser usado para habilitar o registro de usuários e definir a função de usuário padrão como administrador, levando ao controle total do site.

Recommendations Atualize para uma versão posterior a 2.1.2.