CVE-2026-6670

Nome do Software Vulnerável e Versões Afetadas Media Sync versões anteriores a 1.5.0

Descrição O plugin Media Sync para WordPress contém uma falha de path traversal resultante da validação insuficiente de caminhos de arquivos fornecidos pelo usuário. A aplicação não verifica sequências de travessia de diretório nem restringe o acesso ao diretório de uploads pretendido. Atacantes autenticados com nível de acesso de Autor ou superior podem explorar os parâmetros 'sub dir' e 'media items' para realizar ações em arquivos localizados fora do diretório pretendido.

Recomendações Atualize o plugin para uma versão posterior a 1.4.9. Como medida paliativa temporária, restrinja o acesso aos parâmetros sub dir e media items para minimizar o risco de exploração.