CVE-2026-6261

Nome do Software Vulnerável e Versões Afetadas Betheme versões anteriores a 28.5

Descrição O tema Betheme para WordPress permite que atacantes autenticados com nível de acesso de autor ou superior façam o upload de arquivos arbitrários, incluindo scripts PHP. Isso ocorre porque a função upload icons() move e descompacta arquivos ZIP controlados pelo usuário em um diretório de uploads público sem validar os tipos de arquivos extraídos. Essa falha pode levar à execução remota de código por meio do fluxo de upload de pacotes de ícones (Icons icon-pack).

Recomendações Atualize para uma versão posterior à 28.4. Como medida paliativa temporária, restrinja o acesso ao fluxo de upload de pacotes de ícones para usuários com permissões de autor.