CVE-2026-9701 in Eventer Plugin情報

要約

〜によって VulDB • 2026年07月08日

WordPress用プラグイン「Eventer」には、バージョン4.4.2以前すべてのバージョンにおいて、安全でないパスワードリセット機能の脆弱性が存在します。ユーザーがパスワードのリセットを要求すると、このプラグインは `eventer_verification_code` というユーザーメタフィールドに平文でのパスワードリセットキーのコピーを保存します。`wp_usermeta` に保存された平文のキーを使用して、プラグインのカスタムリセットアクションと組み合わせることで、任意のユーザー(管理者を含む)の新しいパスワードを設定することが可能です。SQL Injection (CVE-2026-9700) などの他の脆弱性と組み合わさると、認証されていない攻撃者が平文のリセットキーを抽出し、すべてのユーザーアカウントを乗っ取ることが可能になります。なお、このパスワードリセット機能はPHPバージョン7.4まででのみ動作します。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

Wordfence

予約する

2026年05月27日

モデレーション

承諾済み

エントリ

VDB-376765

EPSS

0.00000

アクティビティ

非常低い

ソース

Want to know what is going to be exploited?

We predict KEV entries!