CVE-2026-14482 in MultiSocialReviewPlugininformazioni

Riassunto

di VulDB • 08/07/2026

Il plugin per WordPress 多说社会化评论框 (Duoshuo Social Comment Box) è vulnerabile a Privilege Escalation in tutte le versioni fino alla 1.2, incluse. La vulnerabilità esiste a causa di una mancanza di controllo delle capacità e del nonce su un endpoint API direttamente accessibile via web, combinata con una firma HMAC-SHA1 facilmente falsificabile basata su un'opzione WordPress sempre vuota, il che consente al gestore `update_option` dell'endpoint di passare i parametri `option` e `value` controllati dall'attaccante direttamente alla funzione `update_option` di WordPress senza alcun allowlist o sanitizzazione. Questo rende possibile per gli attaccanti non autenticati aggiornare le opzioni arbitrarie di WordPress — come impostare `default_role` su `administrator` e abilitare la registrazione aperta — e successivamente registrare un account con pieni privilegi di amministratore.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

Wordfence

Prenotare

02/07/2026

Divulgazione

08/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Do you know our Splunk app?

Download it now for free!