PT-2026-40892 · WordPress · Infusedwoo Pro
Publicado
2026-05-14
·
Atualizado
2026-05-14
·
CVE-2026-6510
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
InfusedWoo Pro versões anteriores a 5.1.3
Description
O plugin está sujeito a escalonamento de privilégios devido à falta de autorização. O problema decorre da ausência de verificação de nonce e de verificações de capacidade no manipulador AJAX
iwar save recipe(). Isso permite que invasores não autenticados criem uma receita de automação maliciosa combinando um gatilho de postagem HTTP com uma ação de login automático. Consequentemente, um visitante não autenticado pode acessar uma URL manipulada para obter cookies de autenticação de qualquer conta de usuário visada, como um administrador, resultando em um bypass completo de autenticação.Recommendations
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
LPE
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Infusedwoo Pro