CVE-2026-5127

Nome do Software Vulnerável e Versões Afetadas User Frontend: AI Powered Frontend Posting, User Directory, Profile, Membership & User Registration versões anteriores a 4.3.2

Descrição A validação de entrada e a verificação de tipo insuficientes no parâmetro wpuf files durante o envio de formulários, combinadas com a desserialização incondicional via função maybe unserialize() ao exibir o conteúdo de postagens, permitem que atacantes autenticados com nível de acesso de Assinante (Subscriber) ou superior injetem objetos PHP arbitrários. Isso pode levar à execução de código arbitrário, exclusão de arquivos arbitrários ou outras ações maliciosas se houver uma cadeia POP (Property-Oriented Programming)—uma sequência de gadgets usada para executar código durante a desserialização—presente no sistema alvo.

Recomendações Atualize para uma versão posterior à 4.3.1. Como medida paliativa temporária, restrinja o acesso ao parâmetro wpuf files durante o envio de formulários para minimizar o risco de exploração.