CVE-2026-6441

Name of the Vulnerable Software and Affected Versions Canto plugin for WordPress versões anteriores a 3.1.2

Description A falta de autorização ocorre devido à ausência de verificações de capacidade ou verificação de nonce na função updateOptions(). Esta função é exposta através de dois hooks AJAX: 'wp ajax updateOptions' e 'wp ajax fbc updateOptions'. Como esses hooks são registrados sob o prefixo wp ajax sem chamadas para current user can() ou check ajax referer(), atacantes autenticados com nível de acesso de assinante ou superior podem modificar ou excluir arbitrariamente as opções do plugin que controlam o comportamento de agendamento do cron, especificamente fbc duplicates, fbc cron, fbc schedule, fbc cron time day, fbc cron time hour e fbc cron start. Além disso, atacantes podem manipular ou limpar o evento cron do WordPress agendado fbc scheduled update.

Recommendations Atualize para uma versão posterior a 3.1.1. Como medida paliativa temporária, restrinja o acesso à função updateOptions() ou aos hooks AJAX associados até que uma correção seja aplicada.