Plataforma
wordpress
Componente
app-builder
Corrigido em
5.5.11
A vulnerabilidade CVE-2026-2375 é uma falha de Escalada de Privilégios identificada no plugin App Builder – Create Native Android & iOS Apps On The Flight para WordPress. Essa falha permite que atacantes não autenticados obtenham privilégios elevados, especificamente o papel 'wcfm_vendor', sem passar pelo processo de aprovação adequado. As versões afetadas incluem todas as versões de 0.0.0 até 5.5.10. A correção está disponível e a aplicação é recomendada.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante não autenticado se registre no WordPress com o papel 'wcfmvendor'. Este papel geralmente concede acesso a funcionalidades administrativas e de gerenciamento de produtos dentro do contexto do WCFM Marketplace, potencialmente permitindo a modificação de produtos, preços, e até mesmo a inserção de conteúdo malicioso. O impacto pode se estender à manipulação de dados de clientes, interrupção do comércio eletrônico e comprometimento da reputação do site. A ausência de um fluxo de aprovação adequado para o papel 'wcfmvendor' torna a exploração particularmente fácil, exigindo apenas o envio de um formulário de registro com o parâmetro 'role' definido para 'wcfm_vendor'.
A vulnerabilidade foi divulgada em 21 de março de 2026. Não há evidências públicas de exploração ativa em larga escala no momento da divulgação. Não está listada no KEV (CISA Known Exploited Vulnerabilities) nem possui uma pontuação EPSS (Exploit Prediction Scoring System) disponível. A existência de uma falha de escalada de privilégios com um método de exploração relativamente simples a torna um alvo potencial para exploração futura.
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização para uma versão corrigida do plugin App Builder. Verifique o site do desenvolvedor ou o repositório do WordPress para a versão mais recente. Se a atualização imediata não for possível devido a incompatibilidades ou problemas de teste, considere desativar temporariamente o plugin para impedir novos registros. Como medida adicional, revise os usuários existentes no WordPress e remova quaisquer contas com o papel 'wcfmvendor' que não tenham sido aprovadas. Implementar uma camada de proteção WAF (Web Application Firewall) com regras para bloquear solicitações de registro que contenham o parâmetro 'role' pode ajudar a mitigar o risco. Após a atualização, confirme a correção verificando que o registro de usuários com o papel 'wcfmvendor' agora requer aprovação manual.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-2375 is a vulnerability in the App Builder WordPress plugin allowing unauthenticated attackers to register with the 'wcfm_vendor' role, bypassing vendor approval and potentially gaining elevated privileges. It affects versions 0.0.0–5.5.10.
If you are using the App Builder WordPress plugin in versions 0.0.0 through 5.5.10, you are potentially affected by this vulnerability. Check your plugin version and upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of the App Builder plugin. Until a patch is released, disable the plugin or manually review and approve all new user registrations.
While no public exploits are currently known, the ease of exploitation suggests a potential for rapid exploitation once a proof-of-concept is released. Monitor your systems closely.
Refer to the App Builder plugin developer's website or the WordPress plugin repository for official advisories and updates regarding CVE-2026-2375.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.