PT-2026-54508 · WordPress · Sms Alert

Chloe Chamberland

+1

·

Publicado

2026-07-01

·

Atualizado

2026-07-01

·

CVE-2026-11387

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas SMS Alert – SMS & OTP for WooCommerce, Order Notifications & Abandoned Cart Recovery versões anteriores a 3.9.6
Description Existe um problema que permite que atacantes não autenticados realizem a escalada de privilégios via sequestro de conta. O plugin não valida adequadamente a identidade do usuário antes de atualizar detalhes da conta, como a redefinição de senhas. Isso permite que um atacante altere os endereços de e-mail de usuários arbitrários, incluindo administradores, para redefinir suas senhas e obter acesso total à conta. Este problema afeta especificamente sites onde a verificação de OTP (One-Time Password) para redefinição de senhas está habilitada e o usuário alvo possui um número de telefone configurado para a verificação de OTP.
Recommendations Atualize o plugin para a versão 3.9.6 ou posterior.

Correção

LPE

Improper Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-11387

Produtos afetados

Sms Alert