CVE-2026-9013

Nome do Software Vulnerável e Versões Afetadas Bogo plugin for WordPress versões anteriores a 3.9.2

Descrição Existe um problema onde atacantes autenticados com acesso de nível de assinante ou superior podem extrair o título bruto, conteúdo, excerto e senha de postagens privadas, rascunhos ou protegidas por senha. Isso ocorre ao acionar a duplicação da postagem por meio do endpoint de tradução 'bogo rest create post translation' e ler os campos retornados title.raw, content.raw e excerpt.raw. O problema é explorável em postagens escritas em um local não padrão, pois assinantes podem solicitar uma tradução para o local padrão do site para ignorar a barreira de permissão exclusiva de local. Embora os assinantes possam acionar o endpoint, o impacto ocorre principalmente no nível de Colaborador, pois eles possuem as permissões necessárias para ler o conteúdo duplicado.

Recomendações Atualize o plugin para a versão 3.9.2 ou posterior. Como medida paliativa temporária, restrinja o acesso ao endpoint 'bogo rest create post translation' para usuários com privilégios de baixo nível.