CVE-2026-1993 in ExactMetrics Plugin
Resumen
por MITRE • 2026-03-11
El plugin ExactMetrics – Google Analytics Dashboard para WordPress es vulnerable a la Gestión Inadecuada de Privilegios en las versiones 7.1.0 a la 9.0.2. Esto se debe a que la función 'update_settings()' acepta nombres de configuración de plugin arbitrarios sin una lista blanca de configuraciones permitidas. Esto permite que atacantes autenticados con la capacidad 'exactmetrics_save_settings' modifiquen cualquier configuración del plugin, incluida la opción 'save_settings' que controla qué roles de usuario tienen acceso a la funcionalidad del plugin. El administrador tenía la intención de delegar el acceso a la configuración a un usuario de confianza, no de permitir que ese usuario delegara el acceso a todos. Al configurar 'save_settings' para incluir 'subscriber', un atacante puede otorgar acceso administrativo al plugin a todos los suscriptores del sitio.
Once again VulDB remains the best source for vulnerability data.