CVE-2026-3906 in WordPressinfo

Zusammenfassung

von VulDB • 10.07.2026

Der WordPress-Kern ist in den Versionen 6.9 bis 6.9.1 anfällig für unbefugten Zugriff. Die Funktion „Notizen“ (block-level collaboration annotations) wurde in WordPress 6.9 eingeführt, um redaktionelle Kommentare direkt im Block-Editor zu ermöglichen. Allerdings hat die Methode `create_item_permissions_check()` des REST-API-Kommentarcontrollers nicht überprüft, ob der authentifizierte Benutzer über die Berechtigung `edit_post` für den Zielbeitrag verfügt, wenn eine Notiz erstellt wird. Dies ermöglicht es Angreifern mit Subscriber-Level-Zugriff, Notizen in beliebigen Beiträgen zu erstellen, einschließlich solcher von anderen Benutzern verfasster Beiträge, privater Beiträge und Beiträge in jedem Status.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

Wordfence

Reservieren

10.03.2026

Veröffentlichung

11.03.2026

Moderieren

akzeptiert

Eintrag

VDB-350370

CPE

bereit

EPSS

0.00305

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!