CVE-2026-6440 in GoodMeet Plugin
Résumé
par VulDB • 10/07/2026
Le plugin WordPress The GoodMeet – Google Meet Integration for Webinar, Meeting & Video Conference est vulnérable à une attaque par Cross-Site Request Forgery (CSRF) dans les versions 1.1.8 et antérieures. Cette faille est due à l'absence de vérification d'un nonce dans la fonction `reset_credential()`, qui gère l'action AJAX `wp_ajax_goodmeet_reset_google_meet_credential`. Bien que cette fonction vérifie bien les capacités utilisateur (manage_options), elle ne valide pas un nonce, ce qui la rend susceptible aux attaques CSRF. Cela permet à des attaquants non authentifiés de tromper un administrateur du site afin qu'il clique sur un lien malveillant entraînant la réinitialisation (suppression) des identifiants API Google Meet stockés par le plugin (`goodmeet_google_credentials`) et des jetons OAuth (`goodmeet_google_token`), désactivant ainsi l'intégration avec Google Meet sur le site.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.