CVE-2026-6446

Nome do Software Vulnerável e Versões Afetadas My Social Feeds – Social Feeds Embedder versões anteriores a 1.0.5

Descrição O plugin está sujeito à exposição de informações sensíveis através da ação AJAX 'ttp get accounts'. A função get accounts() carece de verificações de autorização e de verificação de nonce, permitindo que atacantes autenticados com nível de acesso de Assinante (Subscriber) ou superior recuperem todo o conteúdo da opção ttp tiktok accounts do WordPress. Isso inclui credenciais sensíveis de OAuth do TikTok, especificamente os valores de access token e refresh token de contas conectadas por administradores, que podem ser usadas para personificar o proprietário do site ao interagir com a API do TikTok.

Recomendações Atualize o plugin para uma versão posterior a 1.0.4. Como medida paliativa temporária, restrinja o acesso à ação AJAX 'ttp get accounts' para evitar que usuários não autorizados chamem a função get accounts().