PT-2026-44188 · WordPress · Meta Field Block
Publicado
2026-05-28
·
Atualizado
2026-05-28
·
CVE-2026-3173
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Meta Field Block versões anteriores a 1.5.2
Descrição
O plugin está sujeito a Insecure Direct Object Reference (Referência Direta Insegura a Objeto), uma condição em que uma aplicação fornece acesso direto a objetos com base em entradas fornecidas pelo usuário. O problema ocorre porque o software permite que os usuários especifiquem IDs de objeto e tipos de objeto arbitrários por meio de atributos de bloco sem verificar se o usuário autenticado possui as permissões necessárias para acessar os metadados do objeto solicitado. Consequentemente, atacantes autenticados com nível de acesso de Colaborador ou superior podem ler metadados arbitrários de usuários, postagens e termos de qualquer objeto no banco de dados. Em ambientes onde outros plugins armazenam dados sensíveis em campos de meta, como informações de faturamento ou envio do WooCommerce, isso pode resultar na exposição de Informações de Identificação Pessoal (PII), incluindo nomes, endereços de e-mail, números de telefone e endereços físicos.
Recomendações
Atualize o plugin para uma versão posterior a 1.5.1.
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Meta Field Block