CVE-2026-9008

Nome do Software Vulnerável e Versões Afetadas Page-list plugin for WordPress versões anteriores a 6.3

Descrição Ocorre a ausência de autorização na função pagelist unqprfx ext shortcode(), especificamente nos shortcodes '[pagelist ext]' e '[pagelistext]'. A função aceita os atributos post status, post type e show meta key controlados por um invasor e os passa diretamente para get pages() e get post meta() sem verificar se o usuário possui as permissões necessárias para ler os objetos correspondentes. Quando o post atual não possui páginas filhas, a consulta é reemitida com child of definido como 0, expandindo a busca para todas as páginas do site que correspondam ao status e tipo fornecidos. Isso permite que invasores autenticados com nível de acesso de contribuidor ou superior divulguem títulos, conteúdo do corpo, resumos e meta-dados arbitrários de páginas privadas e rascunhos ao inserir o shortcode em um rascunho de autoria do contribuidor e visualizá-lo.

Recomendações Atualize o plugin para uma versão posterior a 6.2.