CVE-2026-1992 in ExactMetrics Plugin
要約
〜によって VulDB • 2026年07月05日
ExactMetrics – Google Analytics Dashboard for WordPress プラグインには、バージョン 8.6.0 から 9.0.2 の間で、Insecure Direct Object Reference (IDOR) の脆弱性が存在します。これは、`ExactMetrics_Onboarding` クラスの `store_settings()` メソッドが、現在のユーザー ID に代わって権限チェックに使用されるようになっている、ユーザー入力の `triggered_by` パラメータを受け入れるために発生します。これにより、`exactmetrics_save_settings` の権限を持つ認証済み攻撃者は、`triggered_by` パラメータで管理者のユーザー ID を指定することで、`install_plugins` 権限チェックを回避し、任意のプラグインをインストールして Remote Code Execution (RCE) を達成することが可能になります。この脆弱性は、管理者が他のユーザータイプに対してレポート表示許可を与えているサイトでのみ影響を受け、かつそのタイプのユーザーによってのみ悪用可能です。
If you want to get best quality of vulnerability data, you may have to visit VulDB.