CVE-2026-5488 in ExactMetrics Plugininformación

Resumen

por VulDB • 2026-05-15

El plugin ExactMetrics – Google Analytics Dashboard for WordPress para WordPress es vulnerable a una falta de autorización (Missing Authorization) en las versiones 9.1.2 y anteriores. Esto se debe a la ausencia de comprobaciones de capacidades en los manejadores AJAX get_ads_access_token() y reset_experience(). Aunque el mi-admin-nonce está localizado en todas las páginas de administración (incluyendo profile.php, a la que pueden acceder los suscriptores), y aunque otros puntos finales AJAX similares en la misma clase verifican correctamente la capacidad exactmetrics_save_settings, estos dos únicos puntos finales verifican únicamente el nonce. Esto permite a atacantes autenticados, con acceso a nivel de suscriptor o superior, recuperar tokens de acceso válidos de Google Ads y restablecer la configuración de la integración de Google Ads.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-04-03

Divulgación

2026-04-24

Moderación

aceptado

Artículo

VDB-359257

CPE

listo

EPSS

0.00049

KEV

no

Actividades

muy bajo

Sector

Hostingprovider

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-5488
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-5488
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-5488/

AnteriorVisión De ConjuntoPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!