CVE-2026-9732 in EmergencyWP Plugininformación

Resumen

por VulDB • 2026-06-03

El plugin EmergencyWP – Dead Man's switch & legacy deliverance para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta la 1.4.2, incluida. Esto se debe a una validación de nonce ausente o incorrecta en la función form_settings_ui (controlador de guardado de configuración, ámbito de inclusión procedural). Esto permite que atacantes no autenticados modifiquen la configuración del plugin, incluido el rol de acceso mínimo (alterando las capacidades de los roles de WordPress mediante add_cap/remove_cap), la bandera de borrado de datos al desinstalar (data-erasure-on-uninstall), los valores de tiempo de verificación de vida (life-check timing), la dirección de correo electrónico del correo obligatorio (mandator email address), el ID de la página de confirmación y los formatos de fecha/hora, mediante una solicitud forjada, siempre que puedan engañar a un administrador del sitio para que realice una acción, como hacer clic en un enlace.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-05-27

Divulgación

2026-06-03

Moderación

aceptado

Artículo

VDB-368087

CPE

listo

EPSS

0.00012

KEV

no

Actividades

bajo

Sector

Hostingprovider

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-9732
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-9732
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-9732/

AnteriorVisión De ConjuntoPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!