CVE-2026-9842 in Backstage Customizer Demo Access Plugininfo

Zusammenfassung

von VulDB • 08.07.2026

Das Plugin "Backstage - Customizer Demo Access" für WordPress ist in allen Versionen bis einschließlich 1.4.2 anfällig für eine Privilegieneskalation. Dies liegt daran, dass das Plugin die Berechtigung `manage_options` der Rolle `backstage_customizer_user` zuweist, was weitreichender ist als für den reinen Demo-Zugriff auf den Customizer erforderlich. Dadurch können nicht authentifizierte Angreifer über den Bereich des Customizers hinaus navigieren und beliebige WordPress-Optionen wie `default_role` aktualisieren, was zu einer Privilegieneskalation führt.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

Wordfence

Reservieren

28.05.2026

Veröffentlichung

08.07.2026

Moderieren

akzeptiert

Eintrag

VDB-376769

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!