CVE-2026-4119

Name of the Vulnerable Software and Affected Versions Create DB Tables versões anteriores a 1.2.2

Description O plugin Create DB Tables para WordPress contém um bypass de autorização. O plugin registra hooks de ação admin post para criar tabelas ('admin post add table') e excluir tabelas ('admin post delete db table') sem implementar verificações de capacidade ou verificação de nonce. Consequentemente, qualquer usuário autenticado, incluindo aqueles com nível de acesso de Assinante, pode acessar esses endpoints. A função cdbt delete db table() processa um nome de tabela fornecido pelo usuário através da variável db table e executa uma consulta SQL DROP TABLE, o que permite a exclusão de qualquer tabela do banco de dados, incluindo tabelas críticas do núcleo do WordPress. Da mesma forma, a função cdbt create new table() permite a criação de tabelas de banco de dados arbitrárias.

Recommendations Atualize para uma versão posterior a 1.2.1. Como medida paliativa temporária, restrinja o acesso aos endpoints 'admin post add table' e 'admin post delete db table' apenas a administradores autorizados.