CVE-2026-1291

Nome do Software Vulnerável e Versões Afetadas Meow Gallery versões anteriores a 5.4.5

Descrição O plugin Meow Gallery para WordPress permite a modificação não autorizada de dados devido à ausência de uma verificação de capacidade no endpoint da REST API "/wp-json/meow-gallery/v1/save shortcode". Atacantes autenticados com nível de acesso de Autor ou superior podem criar ou sobrescrever arbitrariamente registros de shortcode de galeria ao fornecer um valor de id controlado pelo usuário. O sistema realiza operações de atualização no banco de dados sem verificar se o usuário solicitante está autorizado a modificar o registro de galeria referenciado ou a criar o seu próprio.

Recomendações Atualize o plugin para a versão 5.4.5 ou posterior. Como medida de mitigação temporária, restrinja o acesso ao endpoint "/wp-json/meow-gallery/v1/save shortcode" para usuários com permissões de nível de Autor.