CVE-2026-8839

Nome do Software Vulnerável e Versões Afetadas MapPress Maps for WordPress versões anteriores a 2.96.7

Descrição Existe uma falha de bypass de autorização devido à falta de verificação de propriedade nas rotas da REST API registradas através da função Mappress Api::rest api init(). O endpoint GET '/wp-json/mapp/v1/maps/{mapid}' utiliza um callback de permissão que retorna verdadeiro, permitindo que atacantes não autenticados leiam dados sensíveis de mapas, como títulos de POI, endereços, coordenadas e conteúdo do corpo, enumerando a variável mapid. Além disso, os endpoints de escrita (POST update, DELETE, PATCH mutate, POST clone e POST empty trash) verificam apenas a capacidade genérica edit posts sem confirmar se o solicitante é o proprietário do mapa alvo. Essa ausência de verificação também está presente nas funções da camada de modelo Mappress Map::get(), save(), delete(), mutate() e empty trash(), que operam em qualquer ID de mapa fornecido. Consequentemente, atacantes autenticados com nível de acesso Contributor ou superior podem modificar, excluir, mover para a lixeira, restaurar ou clonar qualquer mapa, independentemente do autor.

Recomendações Atualize o plugin para uma versão posterior a 2.96.6.