CVE-2026-8938 in auto making JSON-LD Plugininformation

Résumé

par VulDB • 31/05/2026

Le plugin WordPress auto making JSON-LD est vulnérable à une attaque par falsification de requête intersites (CSRF) dans toutes les versions jusqu'à la 4.5.3 incluse. Cette vulnérabilité est due à une validation de nonce manquante ou incorrecte dans la fonction amJL_certification. Cela permet aux attaquants non authentifiés de mettre à jour l'option de clé de licence du plugin, puis de déclencher la validation de la licence et l'installation des fonctionnalités professionnelles sur le site de la victime sans le consentement de l'administrateur, via une requête forgée, à condition de pouvoir inciter un administrateur du site à effectuer une action telle que cliquer sur un lien. Une exploitation réussie peut déclencher des appels en aval vers amJL_is_license_valid() et amJL_download_and_install_pro_features(), ce qui signifie que l'impact va au-delà d'un simple changement de paramètres et inclut l'installation non autorisée de composants du plugin.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Réserver

19/05/2026

Divulgation

27/05/2026

Modérer

accepté

Entrée

VDB-365923

CPE

prêt

EPSS

0.00013

KEV

non

Activités

faible

Secteur

Hostingprovider

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8938
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8938
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8938/

PrécédentAperçuSuivant

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!