CVE-2026-7249

Nome do Software Vulnerável e Versões Afetadas Location Weather versões anteriores a 3.0.3

Descrição O plugin Location Weather para WordPress permite a modificação não autorizada de dados porque as funções splw update block options() e lwp clean weather transients() carecem de verificações de capacidade. Atacantes autenticados com nível de acesso de Colaborador (Contributor) ou superior podem explorar isso para desativar todos os blocos de clima e limpar todos os transientes de cache de clima. O nonce necessário é exposto a todos os usuários autenticados através de wp localize script() no hook init.

Recomendações Atualize para uma versão posterior a 3.0.2. Como medida paliativa temporária, restrinja o acesso às funções splw update block options() e lwp clean weather transients() para minimizar o risco de exploração.