PT-2026-60430 · WordPress · Digits

·

CVE-2026-13741

·

Publicado

2026-07-16

·

Atualizado

2026-07-16

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Digits: WordPress Mobile Number Signup and Login versões anteriores a 9.1.0.6
Descrição A escalada de privilégios é possível para usuários autenticados com nível de acesso Assinante (Subscriber) ou superior. O problema decorre da falta de autorização e validação de função na função dig update wpwc custom fields(). Um invasor pode elevar seus privilégios para Administrador ao enviar um valor digits reg userrole forjado durante a atualização do perfil, desde que o administrador do site tenha configurado o campo de Função de Usuário integrado do DIGITS.
Recomendações Atualize para uma versão posterior à 9.1.0.5. Como medida de mitigação temporária, desative a configuração do campo de Função de Usuário integrado do DIGITS.

Correção

LPE

Improper Privilege Management

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-13741

Produtos afetados

Digits