PT-2026-60403 · WordPress · Catch Themes Demo Import

Prism

·

Publicado

2026-07-16

·

Atualizado

2026-07-16

·

CVE-2026-15336

CVSS v3.1

4.3

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas Catch Themes Demo Import versões anteriores a 3.4
Descrição Uma falha de autorização ocorre quando a função catch themes demo import activate plugin(), acionada durante o admin init quando o parâmetro GET activate plugin está presente, executa Plugin Upgrader::install() para baixar e instalar um plugin do WordPress.org antes de verificar se o usuário possui a capacidade activate plugins. Isso permite que usuários autenticados com nível de acesso de assinante ou superior instalem o plugin 'essential-content-types' pré-configurado.
Recomendações Atualize para a versão 3.4 ou posterior. Como mitigação temporária, restrinja o acesso ao parâmetro activate plugin no processo admin init.

Correção

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-15336

Produtos afetados

Catch Themes Demo Import