CVE-2026-4066 in inc2734 Smart Custom Fields Plugininformación

Resumen

El plugin Smart Custom Fields para WordPress es vulnerable al acceso no autorizado de datos debido a una comprobación de capacidad faltante en la función relational_posts_search() en todas las versiones hasta la 5.0.6, inclusive. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador y superior, lean contenido de publicaciones privadas y borradores de otros autores a través de la acción AJAX smart-cf-relational-posts-search. La función consulta publicaciones con post_status=any y devuelve objetos WP_Post completos, incluyendo post_content, pero solo comprueba la capacidad genérica edit_posts en lugar de verificar si el usuario solicitante tiene permiso para leer cada publicación individual.

Responsable

Wordfence

Reservar

2026-03-12

Divulgación

2026-03-24

Voces

VulDB provides additional information and datapoints for this CVE:

ID	Vulnerabilidad	CWE	Exp	Con	CVE
352651	inc2734 Smart Custom Fields Plugin relational_posts_search escalada de privilegios	862	No está definido	No está definido	CVE-2026-4066

Descripción

CPE

CWE

CVSS

Hazañas

Historia

Diferencia

Relacionar

Inteligencia de amenazas

API JSON

API XML

API CSV

◂ AnteriorVisión De ConjuntoPróximo ▸

Do you need the next level of professionalism?

Upgrade your account now!