PT-2026-40891 · WordPress · Infusedwoo Pro
Publicado
2026-05-14
·
Atualizado
2026-06-19
·
CVE-2026-6506
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
InfusedWoo Pro versões anteriores a 5.1.3
Descrição
O plugin InfusedWoo Pro para WordPress contém uma falha que permite que atacantes autenticados com acesso de nível de assinante ou superior escalem seus privilégios. O problema decorre da função
infusedwoo gdpr upddata(), que carece de verificações adequadas de autorização e capacidade, além de não restringir quais chaves de meta de usuário podem ser modificadas. Consequentemente, um atacante pode atualizar seu próprio meta de usuário wp capabilities para conceder a si mesmo privilégios de função de Administrador.Recomendações
Atualize o plugin para uma versão posterior a 5.1.2.
Como medida paliativa temporária, restrinja o acesso à função
infusedwoo gdpr upddata() para minimizar o risco de exploração.Correção
LPE
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Infusedwoo Pro