CVE-2026-13741 in Digits Mobile Number Signup and Login Plugin情報

要約

〜によって VulDB • 2026年07月16日

The Digits: WordPress Mobile Number Signup and Login plugin for WordPress には、バージョン9.1.0.5(含む)までの全バージョンにおいて権限昇格の脆弱性が存在します。これは `dig_update_wpwc_custom_fields()` 関数内で認可およびロール検証が欠落していることが原因です。これにより、サブスクライバレベル以上のアクセス権を持つ認証済み攻撃者は、サイト管理者が組み込みの DIGITS User Role フィールドを設定している場合に限りますが、プロファイル更新時に偽造された `digits_reg_userrole` 値を送信することで、自身の権限を管理者まで昇格させることが可能になります。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

責任者

Wordfence

予約する

2026年06月29日

モデレーション

承諾済み

エントリ

VDB-379485

EPSS

0.00000

アクティビティ

低い

セクター

Hostingprovider

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!