CVE-2026-6440 in GoodMeet Plugin
Resumen
por VulDB • 2026-07-10
El plugin GoodMeet – Google Meet Integration for Webinar, Meeting & Video Conference para WordPress es vulnerable a Cross-Site Request Forgery en las versiones anteriores e iguales a 1.1.8. Esto se debe a una falta de verificación del nonce (número único usado una vez) en la función reset_credential(), que gestiona la acción AJAX wp_ajax_goodmeet_reset_google_meet_credential. Aunque la función verifica los permisos del usuario (manage_options), no valida un nonce, lo que lo hace susceptible a ataques CSRF. Esto permite que atacantes no autenticados engañen a un administrador del sitio para que haga clic en un enlace malicioso que restablecerá (eliminará) las credenciales de la API de Google Meet almacenadas por el plugin (goodmeet_google_credentials) y los tokens OAuth (goodmeet_google_token), deshabilitando efectivamente la integración con Google Meet en el sitio.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.