CVE-2026-5118
KrytyczneStreszczenie
Wtyczka Divi Form Builder dla WordPressa jest podatna na eskalację uprawnień w wersjach do 5.1.2 włącznie. Problem wynika z akceptacji parametru 'role' kontrolowanego przez użytkownika z danych POST podczas rejestracji użytkownika, bez jego walidacji względem ustawienia default_user_role formularza.
Ocena ryzyka
Atakujący bez uwierzytelnienia mogą stworzyć konta administratorów, manipulując parametrem roli podczas rejestracji, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację wtyczki Divi Form Builder do najnowszej wersji oraz wdrożenie walidacji parametru 'role' podczas rejestracji użytkowników.
Oryginalny opis (angielski, źródło NVD)
The Divi Form Builder plugin for WordPress is vulnerable to privilege escalation in versions up to, and including, 5.1.2. This is due to the plugin accepting a user-controlled 'role' parameter from POST data during user registration without validating it against the form's configured default_user_role setting. This makes it possible for unauthenticated attackers to create administrator accounts by tampering with the role parameter during registration.

