CVE-2026-6933

Nome do Software Vulnerável e Versões Afetadas Premmerce Dev Tools versões anteriores a 2.1

Descrição O plugin Premmerce Dev Tools para WordPress permite que atacantes autenticados com nível de acesso de Assinante (Subscriber) ou superior alcancem a execução remota de código. O problema ocorre porque a função generatePluginHandler() não realiza verificações de autorização antes de processar dados POST fornecidos pelo usuário. Além disso, a função createFromStub() realiza a substituição de strings não sanitizadas do parâmetro premmerce plugin namespace em arquivos stub PHP gravados no diretório wp-content/plugins/. Um atacante pode injetar um ponto e vírgula seguido de código PHP arbitrário no parâmetro premmerce plugin namespace, resultando na criação e execução de um arquivo PHP malicioso quando acessado via HTTP.

Recomendações Atualize o plugin para uma versão posterior a 2.0. Como medida paliativa temporária, restrinja o acesso à função generatePluginHandler() para evitar que usuários não autorizados processem dados POST.