CVE-2026-5488 in ExactMetrics Plugininfo

Zusammenfassung

von VulDB • 27.05.2026

Das WordPress-Plugin ExactMetrics – Google Analytics Dashboard for WordPress ist in den Versionen bis einschließlich 9.1.2 anfällig für Missing Authorization. Dies ist auf fehlende Berechtigungsprüfungen in den AJAX-Handlern get_ads_access_token() und reset_experience() zurückzuführen. Obwohl der mi-admin-nonce auf allen Admin-Seiten (einschließlich profile.php, auf die auch Abonnenten zugreifen können) lokalisiert ist und obwohl andere ähnliche AJAX-Endpunkte in derselben Klasse ordnungsgemäß die capability exactmetrics_save_settings prüfen, überprüfen diese beiden Endpunkte nur den Nonce. Dies ermöglicht es authentifizierten Angreifern mit Abonnenten-Level-Zugriff und höher, gültige Google Ads-Zugriffstoken abzurufen und die Einstellungen der Google Ads-Integration zurückzusetzen.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Wordfence

Reservieren

03.04.2026

Veröffentlichung

24.04.2026

Moderieren

akzeptiert

Eintrag

VDB-359257

CPE

bereit

EPSS

0.00049

KEV

nein

Aktivitäten

very low

Sektor

Hostingprovider

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-5488
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-5488
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-5488/

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!