CVE-2026-6262

Nome do Software Vulnerável e Versões Afetadas Betheme versões anteriores a 28.5

Descrição O tema Betheme para WordPress permite que atacantes autenticados com nível de acesso de contribuidor ou superior movam ou excluam arquivos locais arbitrários via path traversal (travessia de diretório). Isso ocorre porque a função upload icons() utiliza um caminho de upload controlado pelo usuário mfn-icon-upload em uma operação de movimentação de sistema de arquivos sem restringi-lo ao diretório de uploads.

Recomendações Atualize para uma versão posterior a 28.4. Como medida paliativa temporária, restrinja o acesso à função upload icons() para usuários com permissões de contribuidor.