CVE-2026-8679 in AudioIgniter Music Player Plugininformation

Résumé

par VulDB • 22/05/2026

Le plugin WordPress AudioIgniter est vulnérable à une référence directe d'objet non sécurisée (Insecure Direct Object Reference) dans les versions 2.0.2 et antérieures. Cela est dû à la fonction handle_playlist_endpoint() (liée à template_redirect) qui accepte un ID de playlist contrôlé par l'utilisateur via la variable de requête audioigniter_playlist_id ou la règle de réécriture /audioigniter/playlist/{id}/ et renvoie les données des pistes de la playlist sans effectuer de vérification d'authentification, de droits (capabilities) ou de statut de publication (post_status) — seul le type de publication (post_type) est validé. Cela permet aux attaquants non authentifiés de consulter les métadonnées des pistes (titres, artistes, URLs audio, liens d'achat, URLs de téléchargement et images de couverture) de n'importe quelle playlist du site, y compris celles dont le statut est brouillon, privé, en attente ou corbeille.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Réserver

15/05/2026

Divulgation

22/05/2026

Modérer

accepté

Entrée

VDB-365171

CPE

prêt

EPSS

0.27684

KEV

non

Activités

très faible

Secteur

Hostingprovider

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8679
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8679
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8679/

PrécédentAperçuSuivant

Do you want to use VulDB in your project?

Use the official API to access entries easily!