CVE-2026-5347

Nome do Software Vulnerável e Versões Afetadas HM Books Gallery versões anteriores a 4.8.1

Descrição O plugin está sujeito a falha de autorização devido à ausência de verificações de capacidade e verificação de nonce no hook admin init. Especificamente, o código nas linhas 205-209 do arquivo wp-books-gallery.php verifica apenas a presença do parâmetro POST permalink structure antes de atualizar a opção wbg cpt slug, sem garantir que a solicitação venha de um administrador autenticado. Isso permite que atacantes não autenticados modifiquem o slug do tipo de post personalizado para a galeria de livros, alterando a estrutura de URL de todas as entradas de livros e podendo comprometer links existentes e rankings de SEO.

Recomendações Atualize para uma versão posterior a 4.8.0.