CVE-2026-3614

Name of the Vulnerable Software and Affected Versions AcyMailing versões 9.11.0 até 10.8.1

Description A ausência de uma verificação de capacidade no manipulador AJAX 'wp ajax acymailing router' permite que atacantes autenticados com nível de acesso Assinante ou superior acessem controladores exclusivos de administradores, incluindo o gerenciamento de configuração. Esta falha permite a ativação do recurso de autologin e a criação de um assinante de newsletter malicioso com um cms id injetado apontando para qualquer usuário, permitindo que o atacante se autentique como esse usuário, incluindo administradores.

Recommendations Atualizar para a versão 10.8.2.