CVE-2026-3464

Name of the Vulnerable Software and Affected Versions WP Customer Area versões anteriores a 8.3.5

Description A validação insuficiente do caminho do arquivo na função ajax attach file() permite que atacantes autenticados com funções concedidas por um administrador, como Assinante, leiam ou excluam arquivos arbitrários no servidor. A leitura de arquivos pode expor informações sensíveis, enquanto a exclusão de arquivos, como 'wp-config.php', pode levar à execução remota de código.

Recommendations Atualize para uma versão posterior à 8.3.4. Como medida paliativa temporária, restrinja o acesso à função ajax attach file() até que a atualização seja aplicada.