CVE-2026-4126

Name of the Vulnerable Software and Affected Versions Table Manager versões anteriores a 1.0.1

Description O plugin Table Manager para WordPress permite que atacantes autenticados com nível de acesso Contributor ou superior extraiam dados sensíveis de tabelas arbitrárias do banco de dados do WordPress. O problema ocorre porque o manipulador de shortcode tablemanager render table shortcode() processa um atributo table controlado pelo usuário utilizando apenas sanitize key() para sanitização. Este valor é concatenado com $wpdb->prefix para executar consultas DESC e SELECT *, renderizando todas as linhas e colunas no frontend. O sistema falha ao não implementar uma verificação de lista de permissões para garantir que apenas tabelas criadas pelo plugin sejam acessadas, já que a opção tablemanager created tables não é utilizada no manipulador de shortcode.

Recommendations Atualize o plugin para uma versão posterior a 1.0.0. Como medida paliativa temporária, restrinja o uso do shortcode 'table manager' a usuários confiáveis com privilégios mais elevados.