PT-2026-44190 · WordPress · Crawlomatic Multipage Scraper Post Generator

Publicado

2026-05-28

·

Atualizado

2026-05-29

·

CVE-2026-9009

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Crawlomatic Multipage Scraper Post Generator versões anteriores a 2.7.3
Description O plugin está sujeito a Execução Remota de Código através da função filter content(). O problema ocorre porque os atributos de shortcode callback raw e callback são passados diretamente para call user func() sem sanitização ou validação de lista de permissões. O sistema baseia-se apenas em uma verificação is callable(), que permite o uso de funções integradas perigosas do PHP, como system, shell exec, exec, passthru e assert. Atacantes autenticados com nível de acesso de autor ou superior podem explorar isso para executar código arbitrário no servidor.
Recommendations Atualize para uma versão posterior a 2.7.2.

Correção

RCE

Unrestricted File Upload

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-9009

Produtos afetados

Crawlomatic Multipage Scraper Post Generator