CVE-2026-1993 in ExactMetrics Pluginالمعلومات

الملخص

بحسب VulDB • 10/06/2026

يحتوي مكون WordPress "ExactMetrics – Google Analytics Dashboard" على ثغرة في إدارة الصلاحيات (Improper Privilege Management) في الإصدارات من 7.1.0 حتى 9.0.2. ويعود ذلك إلى أن الدالة `update_settings()` تقبل أسماء إعدادات المكون بشكل تعسفي دون وجود قائمة بيضاء (whitelist) للإعدادات المسموح بها. وهذا يتيح للمهاجمين الذين تمت مصادقتهم ولديهم صلاحية `exactmetrics_save_settings` تعديل أي إعداد للمكون، بما في ذلك خيار `save_settings` الذي يتحكم في الأدوار التي يمكن الوصول إلى وظائف المكون من خلالها. كان المقصود من المسؤول تفويض إمكانية التكوين لمستخدم موثوق به، وليس تمكين هذا المستخدم من تفويض الوصول للجميع. ومن خلال تعيين `save_settings` لتشمل دور "subscriber"، يمكن للمهاجم منح وصول إداري للمكون لجميع المستخدمين الذين يحملون دور subscriber في الموقع.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

Wordfence

حجز

05/02/2026

إفشاء

11/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-350372

EPSS

0.00380

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!