CVE-2026-6228

Nome do Software Vulnerável e Versões Afetadas Frontend Admin by DynamiApps versões anteriores a 3.28.37

Descrição Verificações de autorização insuficientes no mecanismo de atualização do campo de função e capacidades excessivamente permissivas para o tipo de post admin form permitem a escalada de privilégios. O tipo de post personalizado admin form utiliza capability type definido como page, permitindo que editores criem e editem formulários. Ao enviar dados POST para o endpoint 'wp-admin/post.php', um editor pode ignorar as restrições de interface do usuário em feadmin get user roles() para incluir 'administrator' na matriz role options de um formulário edit user. A função pre update value() em class-role.php valida se a função enviada existe na matriz role options, mas não verifica se o usuário tem permissão para atribuir essa função. Isso permite que invasores não autenticados se registrem como editores por meio de um formulário público new user, criem um formulário edit user com funções de administrador e escalem seus privilégios para administrador.

Recomendações Atualize o plugin para uma versão posterior a 3.28.36.