CVE-2026-3488

Name of the Vulnerable Software and Affected Versions WP Statistics versões anteriores a 14.16.5

Description O plugin está sujeito a falta de autorização devido à ausência de verificações de capacidade em vários manipuladores AJAX. Os endpoints afetados são 'wp statistics get filters', 'wp statistics getPrivacyStatus', 'wp statistics updatePrivacyStatus' e 'wp statistics dismiss notices'. Esses manipuladores verificam um nonce wp rest, mas não aplicam verificações como current user can() ou o método User::Access(). Consequentemente, usuários autenticados com nível de acesso Assinante ou superior podem acessar dados analíticos sensíveis, incluindo IDs de usuário, nomes de usuário, e-mails e dados de rastreamento de visitantes, além de recuperar e modificar o status de conformidade de auditoria de privacidade e descartar avisos administrativos.

Recommendations Atualize para uma versão posterior a 14.16.4.