PT-2026-60403 · WordPress · Catch Themes Demo Import
Prism
·
Publicado
2026-07-16
·
Atualizado
2026-07-16
·
CVE-2026-15336
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Catch Themes Demo Import versões anteriores a 3.4
Descrição
Uma falha de autorização ocorre quando a função
catch themes demo import activate plugin(), acionada durante o admin init quando o parâmetro GET activate plugin está presente, executa Plugin Upgrader::install() para baixar e instalar um plugin do WordPress.org antes de verificar se o usuário possui a capacidade activate plugins. Isso permite que usuários autenticados com nível de acesso de assinante ou superior instalem o plugin 'essential-content-types' pré-configurado.Recomendações
Atualize para a versão 3.4 ou posterior.
Como mitigação temporária, restrinja o acesso ao parâmetro
activate plugin no processo admin init.Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Catch Themes Demo Import