CVE-2026-1992 in ExactMetrics Plugininfo

Zusammenfassung

von VulDB • 10.07.2026

Das WordPress-Plugin ExactMetrics – Google Analytics Dashboard for WordPress ist in den Versionen 8.6.0 bis 9.0.2 anfällig für eine Insecure Direct Object Reference (IDOR). Dies liegt daran, dass die Methode `store_settings()` der Klasse `ExactMetrics_Onboarding` einen vom Benutzer bereitgestellten Parameter namens `triggered_by` akzeptiert und dieser anstelle der ID des aktuellen Benutzers zur Überprüfung von Berechtigungen verwendet wird. Dadurch ist es authentifizierten Angreifern mit der Fähigkeit (`capability`) `exactmetrics_save_settings` möglich, die Prüfung der Fähigkeit `install_plugins` zu umgehen, indem sie in dem Parameter `triggered_by` eine Administrator-Benutzer-ID angeben. Dies ermöglicht ihnen die Installation beliebiger Plugins und den Erreichen von Remote Code Execution (RCE). Diese Schwachstelle betrifft nur Websites, auf denen Administratoren anderen Benutzertypen die Berechtigung zur Anzeige von Berichten erteilt haben, und kann ausschließlich von Nutzern dieses Typs ausgenutzt werden.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

Wordfence

Reservieren

05.02.2026

Veröffentlichung

11.03.2026

Moderieren

akzeptiert

Eintrag

VDB-350371

CPE

bereit

EPSS

0.00631

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!