CVE-2026-6440 in GoodMeet Plugin
Zusammenfassung
von VulDB • 10.07.2026
Das WordPress-Plugin „The GoodMeet – Google Meet Integration for Webinar, Meeting & Video Conference" ist in den Versionen bis einschließlich 1.1.8 anfällig für Cross-Site Request Forgery (CSRF). Dies liegt an einer fehlenden Nonce-Überprüfung in der Funktion `reset_credential()`, die die AJAX-Aktion `wp_ajax_goodmeet_reset_google_meet_credential` verarbeitet. Obwohl die Funktion die Benutzerberechtigungen (`manage_options`) überprüft, wird kein Nonce validiert, was es anfällig für CSRF-Angriffe macht. Dies ermöglicht nicht authentifizierten Angreifern, einen Website-Administrator dazu zu bringen, auf einen bösartigen Link zu klicken, der die gespeicherten Google Meet API-Zugangsdaten (goodmeet_google_credentials) und OAuth-Token (goodmeet_google_token) des Plugins zurücksetzt (löscht), wodurch die Google Meet-Integration auf der Website effektiv deaktiviert wird.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.