PT-2026-36566 · WordPress · User Registration Advanced Fields
Jude Nwadinobi
·
Publicado
2026-05-02
·
Atualizado
2026-05-14
·
CVE-2026-4882
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
User Registration Advanced Fields versões anteriores a 1.6.21
Descrição
O plugin User Registration Advanced Fields para WordPress permite que atacantes não autenticados façam o upload de arquivos arbitrários para o servidor. Este problema decorre da falta de validação do tipo de arquivo na função
method upload() da classe 'URAF AJAX', o que pode levar à execução remota de código. Esta falha só pode ser explorada se um campo de "Foto de Perfil" tiver sido adicionado ao formulário de registro.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
RCE
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
User Registration Advanced Fields