CVE-2026-5073

Nome do Software Vulnerável e Versões Afetadas ARMember Premium versões anteriores a 7.3.2

Descrição Existe um problema onde atacantes não autenticados podem anexar consultas SQL adicionais a consultas existentes para extrair informações sensíveis do banco de dados. Isso ocorre devido à escape insuficiente dos parâmetros order e orderby e à falta de preparação adequada da consulta SQL dentro da função arm get directory members(). A falha é acionada por meio do parâmetro 'order' do endpoint de ação AJAX 'arm directory paging action'.

Recomendações Atualize o plugin para uma versão posterior a 7.3.1. Como medida paliativa temporária, restrinja o acesso à ação AJAX 'arm directory paging action' ou evite o uso dos parâmetros order e orderby até que a atualização seja aplicada.