CVE-2026-7523

Nome do Software Vulnerável e Versões Afetadas Alba Board versões anteriores a 2.1.4

Descrição O plugin não verifica adequadamente se um usuário está autorizado a realizar ações específicas, resultando em um bypass de autorização. Isso permite que atacantes autenticados com nível de acesso de assinante ou superior acessem dados privados arbitrários de posts alba card, incluindo títulos, descrições, responsáveis, datas de entrega, tags e comentários, que deveriam ser restritos a Administradores e Editores. Como o manipulador é registrado via hook wp ajax nopriv e seu nonce é exposto a todos os visitantes do site através de wp localize script em páginas que contêm o shortcode [alba board], o problema também é explorável por usuários não autenticados que tenham acesso a tais páginas.

Recomendações Atualize para uma versão posterior a 2.1.3.