CVE-2026-4607

Nome do Software Vulnerável e Versões Afetadas ProfileGrid versões anteriores a 5.9.8.5

Descrição O plugin ProfileGrid – User Profiles, Groups and Communities para WordPress contém uma falha de bypass de autorização. O problema ocorre porque o plugin não verifica adequadamente se um usuário está autorizado a realizar ações por meio das ações AJAX 'pm set group order', 'pm set group items' e 'pm set field order'. Atacantes autenticados com nível de acesso de Assinante (Subscriber) ou superior podem explorar isso para modificar configurações de grupo de todo o site, incluindo a ordem do menu do grupo, a ordem da lista do grupo, a exibição do ícone do grupo e a ordenação de campos.

Recomendações Atualize para uma versão posterior à 5.9.8.4.