CVE-2026-8685

Nome do Software Vulnerável e Versões Afetadas Infility Global versões anteriores a 2.15.17

Descrição O plugin Infility Global para WordPress contém uma falha que permite que atacantes autenticados com nível de acesso de Assinante (Subscriber) ou superior extraiam informações sensíveis do banco de dados. Isso ocorre porque a função show control data::post list(), que está registrada como uma página de menu administrativo com a capacidade de 'leitura', não escapa adequadamente os parâmetros fornecidos pelo usuário ou não prepara a consulta SQL. Atacantes podem anexar consultas SQL adicionais através dos parâmetros orderby e order.

Recomendações Atualize o plugin para uma versão posterior à 2.15.16. Como medida paliativa temporária, restrinja o acesso à função show control data::post list() ou evite o uso dos parâmetros orderby e order até que a atualização seja aplicada.