CVE-2026-7051

Nome do Software Vulnerável e Versões Afetadas Blog2Social: Social Media Auto Post & Scheduler versões anteriores a 8.9.1

Descrição O plugin é afetado por falta de autorização devido à ausência de verificação de propriedade nas funções deleteUserPublishPost() e deleteUserSchedPost(). Essas funções não incluem uma restrição blog user id em suas consultas ao banco de dados, o que permite que atacantes autenticados excluam logicamente (soft-delete) registros de postagens de qualquer usuário ao fornecer valores sequenciais arbitrários de wp b2s posts.id através do parâmetro postId. Isso pode levar à exclusão de postagens de mídias sociais publicadas e agendadas de outros usuários, interrompendo os fluxos de trabalho de publicação de conteúdo.

Recomendações Atualize para uma versão posterior a 8.9.0. Como medida paliativa temporária, restrinja o acesso às funções deleteUserPublishPost() e deleteUserSchedPost() para minimizar o risco de exploração.