PT-2026-40892 · WordPress · Infusedwoo Pro

Publicado

2026-05-14

·

Atualizado

2026-05-14

·

CVE-2026-6510

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas InfusedWoo Pro versões anteriores a 5.1.3
Description O plugin está sujeito a escalonamento de privilégios devido à falta de autorização. O problema decorre da ausência de verificação de nonce e de verificações de capacidade no manipulador AJAX iwar save recipe(). Isso permite que invasores não autenticados criem uma receita de automação maliciosa combinando um gatilho de postagem HTTP com uma ação de login automático. Consequentemente, um visitante não autenticado pode acessar uma URL manipulada para obter cookies de autenticação de qualquer conta de usuário visada, como um administrador, resultando em um bypass completo de autenticação.
Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

LPE

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-6510

Produtos afetados

Infusedwoo Pro