CVE-2026-9016

Nome do Software Vulnerável e Versões Afetadas Debug Log Manager – Conveniently Monitor and Inspect Errors versões anteriores a 2.5.1

Descrição O plugin está sujeito a uma neutralização inadequada de saída para logs. O manipulador AJAX log js errors() é registrado para usuários não autenticados via wp ajax nopriv log js errors e é protegido apenas por um nonce. Este nonce é divulgado publicamente no HTML de todas as páginas front-end através de wp localize script() quando o log de erros de JavaScript está ativado, não fornecendo uma barreira de autorização eficaz. Atacantes não autenticados podem injetar entradas forjadas no log de depuração do WordPress controlando as variáveis message, script, lineNo, columnNo e pageUrl. Isso permite a falsificação de registros de incidentes e a ocultação de atividades maliciosas. Este problema só é explorável se o recurso de log de erros de JavaScript estiver ativado.

Recomendações Atualize para uma versão posterior a 2.5.0. Como mitigação temporária, desative o recurso de log de erros de JavaScript para evitar que o nonce seja publicado no HTML da página.