CVE-2026-4331 in Blog2Social Plugininformation

Résumé

par VulDB • 16/07/2026

Le plugin WordPress Blog2Social: Social Media Auto Post & Scheduler est vulnérable à une perte de données non autorisée dans toutes les versions jusqu'à la 8.8.2 incluse. Cela est dû au fait que la fonction resetSocialMetaTags() vérifie uniquement si l'utilisateur dispose des capacités 'read' et d'un b2s_security_nonce valide, qui sont tous deux accessibles aux utilisateurs du niveau Subscriber, car le plugin accorde la capacité 'blog2social_access' à tous les rôles lors de son activation, leur permettant ainsi d'accéder aux pages administratives du plugin où le nonce est affiché. Cela permet aux attaquants authentifiés disposant d'un accès au moins au niveau Subscriber de supprimer toutes les entrées _b2s_post_meta de la table wp_postmeta, supprimant définitivement tous les balises meta personnalisées pour chaque publication sur le site.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

Wordfence

Réserver

17/03/2026

Divulgation

26/03/2026

Modérer

accepté

Entrée

VDB-353530

CPE

prêt

EPSS

0.00248

KEV

non

Activités

très faible

Sources

Do you know our Splunk app?

Download it now for free!