CVE-2026-7467

Nome do Software Vulnerável e Versões Afetadas Read More & Accordion versões anteriores a 3.5.8

Descrição O plugin está sujeito a escalada de privilégios porque a função RadMoreAjax::importData() não restringe quais tabelas do banco de dados podem ser gravadas durante a importação e não valida adequadamente os dados importados. Atacantes autenticados com permissões concedidas por meio das configurações de função do plugin podem inserir linhas arbitrárias nas tabelas wp users e wp usermeta, visando especificamente o campo wp capabilities. Isso permite a criação de uma nova conta de administrador para obter acesso total ao site.

Recomendações Atualize para uma versão posterior a 3.5.7. Como medida paliativa temporária, restrinja as configurações de função do plugin para impedir que usuários não autorizados acessem a funcionalidade de importação.