CVE-2026-4290

Nome do Software Vulnerável e Versões Afetadas WP Travel Pro versões anteriores a 10.6.1

Description O plugin permite que atacantes não autenticados excluam contas de usuários arbitrários, incluindo administradores. Isso ocorre por meio do endpoint de API REST '/wp-json/wp-travel/v1/travel-guide/{user id}' porque a função de retorno check permission() retorna verdadeiro incondicionalmente e o método Database::delete() passa a variável user id diretamente para wp delete user() sem realizar a validação de função (role).

Recommendations Atualize para uma versão posterior a 10.6.0. Como medida paliativa temporária, restrinja o acesso ao endpoint '/wp-json/wp-travel/v1/travel-guide/{user id}' para minimizar o risco de exploração.