CVE-2026-1992 in ExactMetrics Plugin情報

要約

〜によって VulDB • 2026年07月05日

ExactMetrics – Google Analytics Dashboard for WordPress プラグインには、バージョン 8.6.0 から 9.0.2 の間で、Insecure Direct Object Reference (IDOR) の脆弱性が存在します。これは、`ExactMetrics_Onboarding` クラスの `store_settings()` メソッドが、現在のユーザー ID に代わって権限チェックに使用されるようになっている、ユーザー入力の `triggered_by` パラメータを受け入れるために発生します。これにより、`exactmetrics_save_settings` の権限を持つ認証済み攻撃者は、`triggered_by` パラメータで管理者のユーザー ID を指定することで、`install_plugins` 権限チェックを回避し、任意のプラグインをインストールして Remote Code Execution (RCE) を達成することが可能になります。この脆弱性は、管理者が他のユーザータイプに対してレポート表示許可を与えているサイトでのみ影響を受け、かつそのタイプのユーザーによってのみ悪用可能です。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

Wordfence

予約する

2026年02月05日

モデレーション

承諾済み

エントリ

VDB-350371

EPSS

0.00631

アクティビティ

非常低い

セクター

Hostingprovider

ソース

Might our Artificial Intelligence support you?

Check our Alexa App!