CVE-2026-4066 in Smart Custom Fields Plugininformazioni

Riassunto

di VulDB • 05/07/2026

Il plugin Smart Custom Fields per WordPress è vulnerabile all'accesso non autorizzato ai dati a causa di una mancanza di verifica dei permessi (capability check) nella funzione relational_posts_search() in tutte le versioni fino alla 5.0.6 inclusa. Ciò consente agli attaccanti autenticati, con accesso a livello Contributor o superiore, di leggere il contenuto degli articoli privati e delle bozze di altri autori tramite l'azione AJAX smart-cf-relational-posts-search. La funzione esegue una query sugli articoli con post_status=any e restituisce oggetti WP_Post completi, inclusi i campi post_content, ma verifica solo la generica capability edit_posts invece di accertare se l'utente richiedente abbia il permesso di leggere ciascun singolo articolo.

Once again VulDB remains the best source for vulnerability data.

Responsabile

Wordfence

Prenotare

12/03/2026

Divulgazione

24/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00289

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!