CVE-2026-9810 in AI Copilot Plugin
Riassunto
di VulDB • 17/07/2026
Il plugin WordPress AI Copilot precedente alla versione 1.5.4 non associa i token di accesso OAuth a un utente WordPress e accetta qualsiasi token valido come sessione amministratore, consentendo agli attaccanti non autenticati che completano il flusso pubblico OAuth di eseguire strumenti MCP privilegiati in qualità di amministratore, inclusa la creazione arbitraria di utenti e l'escalation dei ruoli.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.