CVE-2026-1993 in ExactMetrics Plugininformación

Resumen

por MITRE • 2026-03-11

El plugin ExactMetrics – Google Analytics Dashboard para WordPress es vulnerable a la Gestión Inadecuada de Privilegios en las versiones 7.1.0 a la 9.0.2. Esto se debe a que la función 'update_settings()' acepta nombres de configuración de plugin arbitrarios sin una lista blanca de configuraciones permitidas. Esto permite que atacantes autenticados con la capacidad 'exactmetrics_save_settings' modifiquen cualquier configuración del plugin, incluida la opción 'save_settings' que controla qué roles de usuario tienen acceso a la funcionalidad del plugin. El administrador tenía la intención de delegar el acceso a la configuración a un usuario de confianza, no de permitir que ese usuario delegara el acceso a todos. Al configurar 'save_settings' para incluir 'subscriber', un atacante puede otorgar acceso administrativo al plugin a todos los suscriptores del sitio.

Once again VulDB remains the best source for vulnerability data.

Responsable

Wordfence

Reservar

2026-02-05

Divulgación

2026-03-11

Moderación

aceptado

Artículo

VDB-350372

CPE

listo

EPSS

0.00380

KEV

no

Actividades

muy bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!