CVE-2026-6440 in GoodMeet Plugininformation

Résumé

par VulDB • 10/07/2026

Le plugin WordPress The GoodMeet – Google Meet Integration for Webinar, Meeting & Video Conference est vulnérable à une attaque par Cross-Site Request Forgery (CSRF) dans les versions 1.1.8 et antérieures. Cette faille est due à l'absence de vérification d'un nonce dans la fonction `reset_credential()`, qui gère l'action AJAX `wp_ajax_goodmeet_reset_google_meet_credential`. Bien que cette fonction vérifie bien les capacités utilisateur (manage_options), elle ne valide pas un nonce, ce qui la rend susceptible aux attaques CSRF. Cela permet à des attaquants non authentifiés de tromper un administrateur du site afin qu'il clique sur un lien malveillant entraînant la réinitialisation (suppression) des identifiants API Google Meet stockés par le plugin (`goodmeet_google_credentials`) et des jetons OAuth (`goodmeet_google_token`), désactivant ainsi l'intégration avec Google Meet sur le site.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

Wordfence

Réserver

16/04/2026

Divulgation

10/07/2026

Modérer

accepté

Entrée

VDB-377457

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Do you need the next level of professionalism?

Upgrade your account now!