CVE-2026-5488 in ExactMetrics Plugininformation

Résumé

par VulDB • 27/05/2026

Le plugin WordPress ExactMetrics – Google Analytics Dashboard for WordPress est vulnérable à un défaut d'autorisation (Missing Authorization) dans les versions 9.1.2 et antérieures. Cette vulnérabilité est due à l'absence de vérifications des capacités (capability checks) dans les gestionnaires AJAX get_ads_access_token() et reset_experience(). Bien que le nonce mi-admin-nonce soit localisé sur toutes les pages d'administration (y compris profile.php, accessible aux abonnés), et que d'autres points de terminaison AJAX similaires dans la même classe vérifient correctement la capacité exactmetrics_save_settings, ces deux points de terminaison ne vérifient que le nonce. Cela permet aux attaquants authentifiés disposant d'un accès de niveau abonné ou supérieur de récupérer des jetons d'accès Google Ads valides et de réinitialiser les paramètres d'intégration Google Ads.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Réserver

03/04/2026

Divulgation

24/04/2026

Modérer

accepté

Entrée

VDB-359257

CPE

prêt

EPSS

0.00049

KEV

non

Activités

très faible

Secteur

Hostingprovider

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-5488
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-5488
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-5488/

PrécédentAperçuSuivant

Do you know our Splunk app?

Download it now for free!