Plataforma
wordpress
Componente
advanced-members
Corrigido em
1.2.6
1.2.6
A vulnerabilidade CVE-2026-3243 afeta o plugin Advanced Members for ACF para WordPress, permitindo que um invasor atravesse diretórios e exclua arquivos arbitrários no servidor. Essa falha, resultante de uma validação inadequada do caminho do arquivo na função create_crop, pode levar à execução remota de código, especialmente se arquivos de configuração críticos forem apagados. Versões afetadas incluem todas as anteriores à 1.2.5, com uma correção parcial implementada na versão 1.2.5.
Um atacante autenticado com privilégios de Subscriber ou superior pode explorar essa vulnerabilidade para deletar arquivos no servidor WordPress. A consequência mais grave é a possibilidade de exclusão do arquivo wp-config.php, que contém informações sensíveis de configuração do WordPress, como credenciais de banco de dados. A exclusão desse arquivo pode permitir a execução de código arbitrário no servidor, comprometendo a integridade e a confidencialidade dos dados. A gravidade da vulnerabilidade é amplificada pela facilidade com que um atacante pode obter acesso Subscriber, tornando-a um risco significativo para sites WordPress com configurações de permissão padrão. A exploração bem-sucedida pode resultar em controle total do servidor, roubo de dados sensíveis e interrupção do serviço.
A vulnerabilidade foi divulgada em 2026-04-07. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV da CISA no momento da publicação. A existência de um patch parcial na versão 1.2.5 sugere que a vulnerabilidade pode ter sido identificada internamente antes da divulgação pública. A ausência de um Proof of Concept (PoC) público não elimina o risco, pois atacantes podem desenvolver suas próprias ferramentas de exploração.
WordPress websites utilizing the Advanced Members for ACF plugin, particularly those running older versions (≤1.2.5) and those with Subscriber-level users or higher who have access to plugin functionality. Shared hosting environments where file permissions are not tightly controlled are also at increased risk.
• wordpress / plugin:
wp plugin listCheck if the Advanced Members for ACF plugin is installed and its version. If the version is ≤1.2.5, the system is vulnerable. • wordpress / plugin:
wp plugin update advanced-members-for-acfAttempt to update the plugin to the latest version (1.2.6 or later). • wordpress / file system: Inspect the WordPress file system for any unusual files or modifications, particularly in directories accessible to the WordPress user. • wordpress / plugin: Review the plugin's code for any instances of file path manipulation or validation that could be exploited.
disclosure
Status do Exploit
EPSS
0.22% (percentil 45%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-3243 é a atualização imediata do plugin Advanced Members for ACF para a versão 1.2.6 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir o acesso de usuários com privilégios de Subscriber ou superior, limitando sua capacidade de interagir com as funções do plugin. Implementar regras de firewall de aplicação web (WAF) para bloquear solicitações que tentem acessar ou manipular arquivos fora do diretório esperado também pode ajudar a mitigar o risco. Monitore os logs do servidor WordPress em busca de tentativas de acesso a arquivos não autorizados ou padrões de exclusão suspeitos.
Atualize para a versão 1.2.6, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-3243 is a Path Traversal vulnerability in the Advanced Members for ACF WordPress plugin, allowing authenticated attackers to delete files.
You are affected if you are using Advanced Members for ACF version 1.2.5 or earlier. Upgrade to 1.2.6 to mitigate the risk.
Upgrade the Advanced Members for ACF plugin to version 1.2.6 or later. Consider restricting file permissions as a temporary workaround.
There are currently no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the plugin developer's website or WordPress.org plugin page for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.