PT-2026-60446 · WordPress · Wp Bulk Delete

·

CVE-2026-15727

·

Publicado

2026-07-16

·

Atualizado

2026-07-16

CVSS v3.1

4.9

Média

VetorAV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas WP Bulk Delete versões anteriores a 1.4.3
Descrição Existe um problema onde atacantes autenticados com acesso de nível de administrador ou superior podem realizar SQL Injection. Isso ocorre porque o parâmetro delete user roles não é suficientemente escapado e a consulta SQL não é devidamente preparada. O processo envolve a aplicação de wp unslash() ao corpo POST bruto antes que o parse str() o decomponha, o que remove a proteção de magic-quotes do WordPress e permite que valores não escapados alcancem o sumidouro SQL. Isso pode ser utilizado para extrair informações sensíveis do banco de dados.
Recomendações Atualize o WP Bulk Delete para a versão 1.4.3 ou posterior. Como mitigação temporária, restrinja o acesso ao parâmetro delete user roles.

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-15727

Produtos afetados

Wp Bulk Delete