CVE-2026-7647

Nome do Software Vulnerável e Versões Afetadas Profile Builder Pro versões anteriores a 3.14.6

Descrição O plugin Profile Builder Pro para WordPress é suscetível a Injeção de Objetos PHP. Isso ocorre porque o manipulador AJAX wppb request users pins action callback() utiliza a função maybe unserialize() no parâmetro POST args sem implementar verificação de nonce, verificação de tipo ou validação de entrada. Como o manipulador está registrado com os hooks wp ajax e wp ajax nopriv , atacantes não autenticados podem injetar objetos PHP arbitrários na memória da aplicação.

Recomendações Atualize o plugin para uma versão posterior a 3.14.5. Como medida paliativa temporária, restrinja o acesso à função wppb request users pins action callback() para minimizar o risco de exploração.