CVE-2026-7649

Nome do Software Vulnerável e Versões Afetadas ARMember – Membership Plugin versões anteriores a 4.0.61

Descrição O ARMember – Membership Plugin para WordPress é suscetível a SQL Injection cego baseado em tempo, uma técnica onde um invasor faz perguntas de verdadeiro/falso ao banco de dados e determina a resposta com base no tempo que o servidor leva para responder. Isso ocorre devido à sanitização insuficiente de parâmetros fornecidos pelo usuário e à falta de preparação adequada da consulta SQL. Atacantes não autenticados podem anexar consultas SQL adicionais através do parâmetro orderby para extrair informações sensíveis do banco de dados.

Recomendações Atualize o plugin para uma versão posterior a 4.0.60. Como medida paliativa temporária, restrinja ou sanitize a entrada do parâmetro orderby para minimizar o risco de exploração.