PT-2026-56710 · WordPress · Profilegrid+1
John
·
Publicado
2026-07-09
·
Atualizado
2026-07-09
·
CVE-2026-11359
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Memberships and User Profiles for WooCommerce – ProfileGrid WooCommerce Integration versões anteriores a 3.5
Descrição
Usuários autenticados com nível de acesso Assinante (Subscriber) ou superior podem realizar a instalação e ativação não autorizada do plugin ProfileGrid. Isso ocorre porque a função
pg install profilegrid(), processada através do endpoint AJAX wp ajax pg install profilegrid, carece de verificações de capacidade e validação de nonce. Um nonce é um token único usado para proteger contra falsificação de requisição cross-site, verificando se a requisição foi intencionalmente enviada pelo usuário.Recomendações
Atualize o plugin para uma versão posterior a 3.4.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Memberships/User Profiles For Woocommerce
Profilegrid