PT-2026-54508 · WordPress · Sms Alert
Chloe Chamberland
+1
·
Publicado
2026-07-01
·
Atualizado
2026-07-01
·
CVE-2026-11387
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
SMS Alert – SMS & OTP for WooCommerce, Order Notifications & Abandoned Cart Recovery versões anteriores a 3.9.6
Description
Existe um problema que permite que atacantes não autenticados realizem a escalada de privilégios via sequestro de conta. O plugin não valida adequadamente a identidade do usuário antes de atualizar detalhes da conta, como a redefinição de senhas. Isso permite que um atacante altere os endereços de e-mail de usuários arbitrários, incluindo administradores, para redefinir suas senhas e obter acesso total à conta. Este problema afeta especificamente sites onde a verificação de OTP (One-Time Password) para redefinição de senhas está habilitada e o usuário alvo possui um número de telefone configurado para a verificação de OTP.
Recommendations
Atualize o plugin para a versão 3.9.6 ou posterior.
Correção
LPE
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sms Alert