CVE-2026-7641

Nome do Software Vulnerável e Versões Afetadas Import and export users and customers plugin for WordPress versões anteriores a 2.0.9

Descrição Existe um problema na função save extra user profile fields() onde uma lista de bloqueio incompleta não restringe as chaves de meta de capacidade para subsites em uma rede WordPress Multisite. Enquanto chaves do site primário como wp capabilities e wp user level são bloqueadas, equivalentes de subsites, como wp 2 capabilities e wp 2 user level, podem ignorar a verificação in array() e ser gravadas nos meta do usuário via update user meta(). Atacantes autenticados com acesso de nível Assinante ou superior podem escalar seus privilégios para Administrador em qualquer subsite enviando uma atualização de perfil manipulada para o endpoint "/wp-admin/profile.php". Isso requer que um administrador tenha importado previamente um arquivo CSV contendo cabeçalhos de coluna de capacidade prefixados por multisite e habilitado a opção 'Show fields in profile?', o que expõe essas chaves como campos editáveis na página de perfil do usuário.

Recomendações Atualize o plugin para uma versão posterior a 2.0.8. Como medida paliativa temporária, desabilite a opção 'Show fields in profile?' para evitar que as chaves de capacidade sejam expostas como campos editáveis na página de perfil do usuário.