CVE-2026-10038

Nome do Software Vulnerável e Versões Afetadas The Charitable – Donation Plugin for WordPress – Fundraising with Recurring Donations & More versões anteriores a 1.8.11.2

Description Uma Referência Direta a Objeto Insegura (IDOR) e Ignoramento de Autorização permitem que atacantes autenticados com nível de acesso de Assinante (Subscriber) ou superior excluam anexos arbitrários da Biblioteca de Mídia. O problema ocorre durante o fluxo de atualização do avatar do perfil porque a função save avatar() em Charitable Profile Form chama wp delete attachment() usando um ID de anexo do meta avatar do usuário sem verificar a propriedade. Além disso, Charitable Data Processor::process picture() retorna o valor postado bruto quando nenhum arquivo é enviado, permitindo que o meta de usuário avatar seja contaminado com um ID de anexo alvo. A exploração envolve uma cadeia de duas requisições: primeiro a contaminação do valor meta do avatar armazenado e, em seguida, o acionamento da exclusão por meio de um upload de avatar normal.

Recommendations Atualize o plugin para a versão 1.8.11.2 ou posterior. Como medida paliativa temporária, restrinja o acesso à funcionalidade de atualização de avatar do perfil para usuários com permissões de Assinante.