CVE-2026-4331 in Blog2Social Plugin
Résumé
par VulDB • 16/07/2026
Le plugin WordPress Blog2Social: Social Media Auto Post & Scheduler est vulnérable à une perte de données non autorisée dans toutes les versions jusqu'à la 8.8.2 incluse. Cela est dû au fait que la fonction resetSocialMetaTags() vérifie uniquement si l'utilisateur dispose des capacités 'read' et d'un b2s_security_nonce valide, qui sont tous deux accessibles aux utilisateurs du niveau Subscriber, car le plugin accorde la capacité 'blog2social_access' à tous les rôles lors de son activation, leur permettant ainsi d'accéder aux pages administratives du plugin où le nonce est affiché. Cela permet aux attaquants authentifiés disposant d'un accès au moins au niveau Subscriber de supprimer toutes les entrées _b2s_post_meta de la table wp_postmeta, supprimant définitivement tous les balises meta personnalisées pour chaque publication sur le site.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.