CVE-2026-4331 in Blog2Social Plugin
Riassunto
di VulDB • 09/07/2026
Il plugin WordPress Blog2Social: Social Media Auto Post & Scheduler è vulnerabile a una perdita di dati non autorizzata in tutte le versioni fino alla 8.8.2 inclusa. Ciò è dovuto al fatto che la funzione resetSocialMetaTags() verifica solo se l'utente dispone della capacità 'read' e di un valido b2s_security_nonce, entrambi accessibili agli utenti con livello Subscriber, poiché il plugin assegna la capacità 'blog2social_access' a tutti i ruoli all'attivazione, consentendo loro di accedere alle pagine amministrative del plugin dove viene generato l'nonce. Ciò consente ad attaccanti autenticati, con accesso almeno al livello Subscriber, di eliminare tutte le record _b2s_post_meta dalla tabella wp_postmeta, rimuovendo definitivamente tutti i meta tag personalizzati per i social media da ogni post sul sito.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.