CVE-2026-8995 in Poll Maker Plugininformación

Resumen

por VulDB • 2026-05-31

El plugin Poll Maker – Versus Polls, Anonymous Polls, Image Polls para WordPress es vulnerable a Exposición de Información Sensible en las versiones 6.3.7 y anteriores. Esto se debe a controles de acceso insuficientes en la acción AJAX 'ays_poll_get_user_information', que serializa y devuelve el objeto WP_User completo, incluyendo el hash de la contraseña (user_pass en bcrypt), user_email, user_login, user_registered, roles y todas las capacidades, sin ninguna verificación de nonce ni comprobación de capacidades más allá de is_user_logged_in(). Esto permite a los atacantes autenticados, con acceso a nivel de suscriptor o superior, recuperar datos sensibles de la cuenta, incluido su propio hash de contraseña, el cual WordPress no expone a través de ninguna de sus interfaces estándar y que puede aprovecharse para ataques de descifrado de contraseñas fuera de línea.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-05-19

Divulgación

2026-05-29

Moderación

aceptado

Artículo

VDB-367111

CPE

listo

EPSS

0.00044

KEV

no

Actividades

bajo

Sector

Education

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8995
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8995
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8995/

AnteriorVisión De ConjuntoPróximo

Do you need the next level of professionalism?

Upgrade your account now!