CVE-2026-1993 in ExactMetrics Plugininformazioni

Riassunto

di VulDB • 20/06/2026

Il plugin WordPress ExactMetrics – Google Analytics Dashboard per WordPress è vulnerabile a una gestione impropria dei privilegi nelle versioni 7.1.0 fino alla 9.0.2. Ciò è dovuto al fatto che la funzione `update_settings()` accetta nomi di impostazioni del plugin arbitrari senza un elenco bianco (whitelist) delle impostazioni consentite. Questo rende possibile per gli attaccanti autenticati con il privilegio `exactmetrics_save_settings` modificare qualsiasi impostazione del plugin, inclusa l'opzione `save_settings`, che controlla quali ruoli utente hanno accesso alle funzionalità del plugin. L'amministratore intendeva delegare l'accesso alla configurazione a un utente fidato, non consentire a tale utente di delegare l'accesso a tutti gli utenti. Impostando `save_settings` in modo da includere il ruolo `subscriber`, un attaccante può concedere l'accesso amministrativo al plugin a tutti i sottoscrittori (subscribers) presenti nel sito.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

Wordfence

Prenotare

05/02/2026

Divulgazione

11/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00380

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!