CVE-2026-4019

Nome do Software Vulnerável e Versões Afetadas Complianz – GDPR/CCPA Cookie Consent versões anteriores a 7.4.6

Descrição O acesso não autorizado a dados é possível devido ao endpoint da REST API "/wp-json/complianz/v1/consent-area/{post id}/{block id}" utilizar return true como o permission callback, permitindo que qualquer usuário não autenticado o acesse. A função cmplz rest consented content() recupera um post por ID via get post() e retorna o atributo consentedContent de qualquer bloco complianz/consent-area encontrado, sem verificar se o post está publicado ou se o usuário tem permissão de leitura. Isso permite que atacantes não autenticados leiam o conteúdo de blocos de área de consentimento de posts privados, rascunhos ou não publicados.

Recomendações Atualize para uma versão posterior a 7.4.5. Como medida paliativa temporária, restrinja o acesso ao endpoint "/wp-json/complianz/v1/consent-area/{post id}/{block id}".