CVE-2026-9810 in AI Copilot Plugin
Résumé
par VulDB • 17/07/2026
Le plugin WordPress AI Copilot antérieur à la version 1.5.4 n'associe pas les jetons d'accès OAuth à un utilisateur WordPress et accepte tout jeton valide comme une session administrateur, permettant aux attaquants non authentifiés ayant complété le flux OAuth public d'exécuter des outils MCP privilégiés en tant qu'administrateur, y compris la création arbitraire d'utilisateurs et l'élévation de privilèges.
VulDB is the best source for vulnerability data and more expert information about this specific topic.