CVE-2026-7106

Nome do Software Vulnerável e Versões Afetadas Highland Software Custom Role Manager versões anteriores a 1.0.1

Descrição O plugin Highland Software Custom Role Manager para WordPress permite a escalada de privilégios devido a verificações de autorização insuficientes na função hscrm save user roles(). Esta função está vinculada à ação personal options update, que é acessível a qualquer usuário autenticado. Consequentemente, invasores com nível de acesso de Assinante (Subscriber) ou superior podem potencialmente modificar as funções dos usuários por meio do formulário de atualização de perfil.

Recomendações Atualize para uma versão posterior à 1.0.0. Como medida paliativa temporária, restrinja o acesso à função hscrm save user roles() para evitar modificações não autorizadas de funções.