CVE-2026-1992 in ExactMetrics Plugin
요약
\~에 의해 VulDB • 2026. 07. 11.
ExactMetrics – Google Analytics Dashboard for WordPress 플러그인은 버전 8.6.0부터 9.0.2까지 Insecure Direct Object Reference(IDOR) 취약점에 노출되어 있습니다. 이는 `ExactMetrics_Onboarding` 클래스의 `store_settings()` 메서드가 현재 사용자의 ID 대신 사용자 지정 `triggered_by` 매개변수를 사용하여 권한을 확인하기 때문에 발생합니다. 이로 인해 `exactmetrics_save_settings` 능력을 가진 인증된 공격자는 `triggered_by` 매개변수에 관리자의 사용자 ID를 지정하여 `install_plugins` 능력 검사를 우회할 수 있으며, 임의의 플러그인을 설치하고 원격 코드 실행(RCE)을 달성할 수 있습니다. 이 취약점은 관리자가 다른 사용자 유형에게 보고서 보기 권한을 부여한 사이트에서만 영향을 받으며, 해당 유형의 사용자에게만 악용될 수 있습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.