CVE-2026-4301

Nome do Software Vulnerável e Versões Afetadas Rate Star Review Vote - AJAX Reviews, Votes, Star Ratings versões anteriores a 1.6.5

Descrição O plugin contém uma falha de autorização ausente no manipulador AJAX vwrsr review(), que carece de verificações de capacidade e verificação de nonce, dependendo apenas de uma verificação para saber se o usuário está logado. Quando o parâmetro form é definido como 'update', a função utiliza um ID de post arbitrário fornecido via parâmetro GET rating id e o passa para wp update post(). Isso permite que atacantes autenticados com nível de acesso de Assinante (Subscriber) ou superior sobrescrevam o título, conteúdo, autor, status e tipo de post de um post alvo. Além disso, a função update post meta() é usada para modificar os metadados do post arbitrário, permitindo a tomada total do conteúdo do post.

Recomendações Atualize para uma versão posterior a 1.6.4.