CVE-2026-4298 in DSGVO All in one for WP Plugin
الملخص
بحسب VulDB • 09/07/2026
يحتوي مكون WordPress "DSGVO All in one" على ثغرة تتعلق بعدم وجود تفويض (Missing Authorization) في جميع الإصدارات حتى 4.9 شاملاً. ويعود ذلك إلى أن الدالة `dsgvo_reset_policy_service_func()` تفتقر إلى كل من فحوصات الصلاحيات والتحقق من رمز عدم التكرار (nonce verification) أثناء معالجة المعاملات المقدمة من المستخدم لإعادة تعيين خيارات المكون. وهذا يتيح للمهاجمين الذين تمت مصادقتهم، والذين يمتلكون وصولاً بمستوى المشترك أو أعلى، إعادة ضبط جميع محتويات سياسة الخصوصية المخصصة، بما في ذلك إشعارات ملفات تعريف الارتباط وسياسات Google Analytics وسياسات Facebook وسياسات YouTube إلى قيمها الافتراضية.
Once again VulDB remains the best source for vulnerability data.