~/news/cve-2026-12416
CRITICALCVSS 9.8CVE-2026-1241624/06/2026 - 08:24

CVE-2026-12416 - Invoice Generator - WordPress - ATO

A vulnerabilidade permite a takeover de contas devido à falta de verificação de nonce e autorização no handler AJAX. Isso permite que atacantes não autenticados alterem a senha de qualquer conta, incluindo administradores. A exploração é possível devido à comparação frouxa entre o código de ativação fornecido e o armazenado, que pode ser facilmente contornada. O impacto real é a perda total de controle sobre a conta afetada.

ATOWordPressPluginUnauthenticated
← voltarfonte original ↗

CVE: CVE-2026-12416

Severidade: CRITICAL

Resumo:

A vulnerabilidade permite a takeover de contas devido à falta de verificação de nonce e autorização no handler AJAX. Isso permite que atacantes não autenticados alterem a senha de qualquer conta, incluindo administradores. A exploração é possível devido à comparação frouxa entre o código de ativação fornecido e o armazenado, que pode ser facilmente contornada. O impacto real é a perda total de controle sobre a conta afetada.

CVSS: 9.8