CVE-2026-9290

Nome do Software Vulnerável e Versões Afetadas WP User Manager – User Profile Builder & Membership versões anteriores a 2.9.18

Descrição O plugin é suscetível a Local File Inclusion, uma condição onde uma aplicação inclui arquivos em um servidor local de forma inesperada. Isso ocorre através da função profile template scope, permitindo que atacantes não autenticados incluam e executem arquivos .php arbitrários. Isso pode levar à execução de código PHP, bypass de controles de acesso ou à obtenção de dados sensíveis, particularmente quando arquivos .php podem ser carregados no servidor.

Recomendações Atualize o plugin para a versão 2.9.18 ou posterior. Como medida paliativa temporária, restrinja o acesso à função profile template scope para minimizar o risco de exploração.