CVE-2026-9810 in AI Copilot Plugininformation

Résumé

par VulDB • 17/07/2026

Le plugin WordPress AI Copilot antérieur à la version 1.5.4 n'associe pas les jetons d'accès OAuth à un utilisateur WordPress et accepte tout jeton valide comme une session administrateur, permettant aux attaquants non authentifiés ayant complété le flux OAuth public d'exécuter des outils MCP privilégiés en tant qu'administrateur, y compris la création arbitraire d'utilisateurs et l'élévation de privilèges.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

WPScan

Réserver

28/05/2026

Divulgation

17/07/2026

Modérer

accepté

Entrée

VDB-379767

CPE

prêt

EPSS

0.00000

KEV

non

Activités

faible

Sources

Do you want to use VulDB in your project?

Use the official API to access entries easily!