CVE-2026-5427

Name of the Vulnerable Software and Affected Versions Kubio versões anteriores a 2.7.3

Description Verificações de capacidade insuficientes na função kubio rest pre insert import assets(), que está vinculada ao filtro rest pre insert {post type} para posts, páginas, templates e partes de templates, permitem o upload arbitrário de arquivos. Quando um post é criado ou atualizado via REST API, o software analisa atributos de bloco em busca de URLs no namespace de atributos kubio e os importa automaticamente via importRemoteFile() sem verificar se o usuário possui a capacidade upload files. Isso permite que atacantes autenticados com nível de acesso Colaborador ou superior ignorem as restrições normais de upload de mídia do WordPress e façam o upload de arquivos buscados de URLs externas para a biblioteca de mídia, criando posts de anexo no banco de dados.

Recommendations Atualizar para uma versão posterior a 2.7.2.