CVE-2026-5753

Nome do Software Vulnerável e Versões Afetadas All-in-One WP Migration Unlimited Extension versões anteriores a 2.84

Descrição O plugin é afetado por falta de autorização. A função Ai1wmve Schedules Controller::save para o endpoint 'admin post ai1wm schedule event save' não verifica as permissões do usuário antes de salvar os dados de agendamento. Isso permite que atacantes autenticados com nível de acesso de assinante ou superior criem tarefas de exportação agendadas e direcionem notificações de backup para endereços de e-mail sob seu controle. Como essas notificações contêm o nome aleatório do arquivo de backup, os atacantes podem baixar backups completos do site, resultando na exposição de informações sensíveis.

Recomendações Atualize para uma versão posterior a 2.83.