CVE-2026-8976

Nome do Software Vulnerável e Versões Afetadas RSS Aggregator by Feedzy versões anteriores a 5.1.8

Descrição Existe uma falha de bypass de autorização porque o plugin não verifica adequadamente se um usuário está autorizado a realizar ações específicas. Atacantes autenticados com nível de acesso de contribuidor ou superior podem criar e executar tarefas de importação de RSS, excluir forçadamente todas as postagens vinculadas a qualquer tarefa de importação, limpar logs de erro de importação e enumerar nomes de meta key de postagens e termos de taxonomia. Isso é possível porque o nonce necessário é vazado para qualquer usuário com a capacidade edit posts através do script localizado feedzyjs injetado no editor de blocos.

Recomendações Atualize para uma versão posterior a 5.1.7.