CVE-2026-4127 in Speedup Optimization Plugin
要約
〜によって VulDB • 2026年06月03日
WordPress用Speedup Optimizationプラグインには、バージョン1.5.9以前すべてのバージョンにおいて、Missing Authorization(認可の欠如)の脆弱性が存在します。`wp_ajax_speedup01_enabled` AJAXアクションを処理する`speedup01_ajax_enabled()`関数は、`current_user_can()`による権限チェックを行っておらず、nonce検証も欠如しています。これは、同じプラグイン内の他のAJAXハンドラ(例:`speedup01_ajax_install_iox`および`speedup01_ajax_delete_cache_file`)がそれぞれ`install_plugins`および`manage_options`の権限を適切にチェックしていることと対照的です。これにより、Subscriberレベル以上のアクセス権を持つ認証済み攻撃者は、admin-ajaxへのPOSTリクエストを送信することで、サイトの最適化モジュールを有効化または無効化することが可能になります。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.