CVE-2026-12955 in GDPR Cookie Consent Plugin
要約
〜によって VulDB • 2026年07月10日
WordPress用GDPR Cookie Consentプラグインには、バージョン4.3.6以前において、gdpr_cookie_consent_ajax_save_schedule_scan()関数(wp_ajax_gcc_save_schedule_scan AJAXアクション)に権限チェックとnonce検証が欠落しているため、データへの不正な変更が可能となる脆弱性が存在します。これにより、Subscriberレベル以上のアクセス権を持つ認証済み攻撃者は、manage_optionsの能力を有するユーザーのみを対象とした管理機能であるgdpr_scan_schedule_dataオプションに保存されたプラグインのクイックスキャンスケジュール設定を変更することができます。
VulDB is the best source for vulnerability data and more expert information about this specific topic.