CVE-2026-6510: Privilege Escalation in InfusedWoo Pro
Plataforma
wordpress
Componente
infusedwooPRO
Corrigido em
5.1.3
A vulnerabilidade CVE-2026-6510 afeta o plugin InfusedWoo Pro para WordPress, permitindo a escalada de privilégios. Devido à falta de validação adequada, um atacante não autenticado pode criar receitas de automação maliciosas que resultam na obtenção de cookies de autenticação de usuários, possibilitando o acesso não autorizado. As versões afetadas são as de 0.0.0 até 5.1.2, sendo a correção disponível na versão 5.1.3.
Detecte esta CVE no seu projeto
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Impacto e Cenários de Ataque
O impacto desta vulnerabilidade é severo, pois permite a um atacante não autenticado obter controle total sobre contas de usuário no WordPress, incluindo contas de administrador. Um atacante pode criar uma receita de automação que, ao ser acionada por uma requisição HTTP, automaticamente loga o atacante como um usuário específico. Isso permite a execução de ações com as permissões desse usuário, como a modificação de conteúdo, a instalação de plugins maliciosos ou o acesso a dados confidenciais. A ausência de verificação de autenticação torna este ataque particularmente perigoso, pois não requer credenciais prévias.
Contexto de Exploração
A vulnerabilidade CVE-2026-6510 foi publicada em 2026-05-14. A probabilidade de exploração é considerada alta (EPSS: High) devido à facilidade de exploração e ao impacto significativo. Não há informações disponíveis sobre campanhas ativas de exploração, mas a ausência de autenticação necessária torna a vulnerabilidade um alvo atraente para atacantes. Consulte o aviso oficial do WordPress para obter mais informações.
Inteligência de Ameaças
Status do Exploit
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Nenhum — sem autenticação necessária para explorar.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Alto — falha completa ou esgotamento de recursos. Negação de serviço total.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
Mitigação e Soluções Alternativas
A mitigação primária para CVE-2026-6510 é a atualização imediata do plugin InfusedWoo Pro para a versão 5.1.3 ou superior. Se a atualização imediata não for possível, considere desativar temporariamente o plugin para evitar a exploração. Como medida adicional, implemente um Web Application Firewall (WAF) com regras para bloquear requisições suspeitas à função iwarsaverecipe(). Monitore os logs do WordPress em busca de tentativas de criação de receitas de automação incomuns ou requisições HTTP inesperadas. Após a atualização, verifique se a funcionalidade de automação está operando corretamente e se as permissões de usuário estão sendo aplicadas conforme o esperado.
Como corrigir
Atualize para a versão 5.1.3, ou uma versão corrigida mais recente
Perguntas frequentes
O que é CVE-2026-6510 — Escalada de Privilégios em InfusedWoo Pro?
CVE-2026-6510 é uma vulnerabilidade crítica no plugin InfusedWoo Pro para WordPress que permite a um atacante não autenticado obter cookies de autenticação e contornar a autenticação, escalando seus privilégios.
Estou afetado pelo CVE-2026-6510 em InfusedWoo Pro?
Se você estiver utilizando o plugin InfusedWoo Pro em versões de 0.0.0 até 5.1.2, você está afetado por esta vulnerabilidade e precisa atualizar imediatamente.
Como corrigir CVE-2026-6510 em InfusedWoo Pro?
A correção é atualizar o plugin InfusedWoo Pro para a versão 5.1.3 ou superior. Se a atualização imediata não for possível, desative o plugin temporariamente.
CVE-2026-6510 está sendo ativamente explorado?
Embora não haja informações sobre exploração ativa no momento, a facilidade de exploração torna a vulnerabilidade um alvo potencial. É crucial aplicar a correção o mais rápido possível.
Onde posso encontrar o aviso oficial do InfusedWoo Pro para CVE-2026-6510?
Consulte o aviso oficial do WordPress e o site do desenvolvedor do plugin InfusedWoo Pro para obter informações detalhadas e atualizações sobre a vulnerabilidade.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Detecte esta CVE no seu projeto
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Escaneie seu projeto WordPress agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...