PT-2026-56710 · WordPress · Profilegrid+1

John

·

Publicado

2026-07-09

·

Atualizado

2026-07-09

·

CVE-2026-11359

CVSS v3.1

4.3

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas Memberships and User Profiles for WooCommerce – ProfileGrid WooCommerce Integration versões anteriores a 3.5
Descrição Usuários autenticados com nível de acesso Assinante (Subscriber) ou superior podem realizar a instalação e ativação não autorizada do plugin ProfileGrid. Isso ocorre porque a função pg install profilegrid(), processada através do endpoint AJAX wp ajax pg install profilegrid, carece de verificações de capacidade e validação de nonce. Um nonce é um token único usado para proteger contra falsificação de requisição cross-site, verificando se a requisição foi intencionalmente enviada pelo usuário.
Recomendações Atualize o plugin para uma versão posterior a 3.4.

Correção

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-11359

Produtos afetados

Memberships/User Profiles For Woocommerce
Profilegrid