PT-2026-44188 · WordPress · Meta Field Block

Publicado

2026-05-28

·

Atualizado

2026-05-28

·

CVE-2026-3173

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas Meta Field Block versões anteriores a 1.5.2
Descrição O plugin está sujeito a Insecure Direct Object Reference (Referência Direta Insegura a Objeto), uma condição em que uma aplicação fornece acesso direto a objetos com base em entradas fornecidas pelo usuário. O problema ocorre porque o software permite que os usuários especifiquem IDs de objeto e tipos de objeto arbitrários por meio de atributos de bloco sem verificar se o usuário autenticado possui as permissões necessárias para acessar os metadados do objeto solicitado. Consequentemente, atacantes autenticados com nível de acesso de Colaborador ou superior podem ler metadados arbitrários de usuários, postagens e termos de qualquer objeto no banco de dados. Em ambientes onde outros plugins armazenam dados sensíveis em campos de meta, como informações de faturamento ou envio do WooCommerce, isso pode resultar na exposição de Informações de Identificação Pessoal (PII), incluindo nomes, endereços de e-mail, números de telefone e endereços físicos.
Recomendações Atualize o plugin para uma versão posterior a 1.5.1.

Correção

IDOR

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-3173

Produtos afetados

Meta Field Block