CVE-2026-1993 in ExactMetrics Plugin
الملخص
بحسب VulDB • 10/06/2026
يحتوي مكون WordPress "ExactMetrics – Google Analytics Dashboard" على ثغرة في إدارة الصلاحيات (Improper Privilege Management) في الإصدارات من 7.1.0 حتى 9.0.2. ويعود ذلك إلى أن الدالة `update_settings()` تقبل أسماء إعدادات المكون بشكل تعسفي دون وجود قائمة بيضاء (whitelist) للإعدادات المسموح بها. وهذا يتيح للمهاجمين الذين تمت مصادقتهم ولديهم صلاحية `exactmetrics_save_settings` تعديل أي إعداد للمكون، بما في ذلك خيار `save_settings` الذي يتحكم في الأدوار التي يمكن الوصول إلى وظائف المكون من خلالها. كان المقصود من المسؤول تفويض إمكانية التكوين لمستخدم موثوق به، وليس تمكين هذا المستخدم من تفويض الوصول للجميع. ومن خلال تعيين `save_settings` لتشمل دور "subscriber"، يمكن للمهاجم منح وصول إداري للمكون لجميع المستخدمين الذين يحملون دور subscriber في الموقع.
VulDB is the best source for vulnerability data and more expert information about this specific topic.