CVE-2026-5149

Nome do Software Vulnerável e Versões Afetadas RTMKit versões anteriores a 2.0.8

Description O plugin RTMKit para WordPress contém uma falha de autorização incorreta. O endpoint AJAX 'get submission content' não realiza uma verificação de capacidade para validar se um usuário tem permissão para acessar dados específicos de envio de formulários. Consequentemente, invasores autenticados com nível de acesso de Colaborador (Contributor) ou superior podem visualizar envios de formulários arbitrários de outros usuários ao iterar o parâmetro entries id.

Recommendations Atualize para uma versão posterior à 2.0.7. Como medida paliativa temporária, restrinja o acesso ao endpoint AJAX 'get submission content' ou limite as permissões de usuário para impedir que contas de nível Colaborador acessem dados de envio de formulários.