CVE-2026-1992 in ExactMetrics Plugininformación

Resumen

por MITRE • 2026-03-11

El plugin ExactMetrics – Google Analytics Dashboard para WordPress es vulnerable a Referencia Directa Insegura a Objeto en las versiones 8.6.0 a 9.0.2. Esto se debe a que el método 'store_settings()' en la clase 'ExactMetrics_Onboarding' acepta un parámetro 'triggered_by' proporcionado por el usuario que se utiliza en lugar del ID del usuario actual para verificar permisos. Esto hace posible que atacantes autenticados con la capacidad 'exactmetrics_save_settings' omitan la verificación de capacidad 'install_plugins' al especificar el ID de usuario de un administrador en el parámetro 'triggered_by', permitiéndoles instalar plugins arbitrarios y lograr la ejecución remota de código. Esta vulnerabilidad solo afecta a los sitios en los que el administrador ha otorgado a otros tipos de usuario el permiso para ver informes y solo puede ser explotada por usuarios de ese tipo.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

Wordfence

Reservar

2026-02-05

Divulgación

2026-03-11

Moderación

aceptado

Artículo

VDB-350371

CPE

listo

EPSS

0.00631

KEV

no

Actividades

muy bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!