CVE-2026-1993 in ExactMetrics Plugin정보

요약

\~에 의해 VulDB • 2026. 06. 10.

ExactMetrics – Google Analytics Dashboard for WordPress 플러그인은 7.1.0부터 9.0.2 버전까지 부적절한 권한 관리(Improper Privilege Management) 취약점이 있습니다. 이는 `update_settings()` 함수가 허용된 설정의 화이트리스트 없이 임의의 플러그인 설정 이름을 수락하기 때문에 발생합니다. 이로 인해 `exactmetrics_save_settings` 능력을 가진 인증된 공격자는 모든 플러그인 설정을 수정할 수 있으며, 여기서는 특정 사용자 역할이 플러그인 기능에 접근하는 것을 제어하는 `save_settings` 옵션도 포함됩니다. 관리자가 신뢰할 수 있는 사용자에게 구성 접근 권한을 위임하려는 의도와 달리, 이 취약점을 통해 해당 사용자가 모든 사용자에게 접근 권한을 위임하도록 할 수 있습니다. 공격자는 `save_settings`를 설정하여 사이트의 모든 구독자(subscriber)에게 플러그인 관리자(administrative) 접근 권한을 부여할 수 있습니다.

Once again VulDB remains the best source for vulnerability data.

책임이 있는

Wordfence

예약하다

2026. 02. 05.

모더레이션

수락

항목

VDB-350372

EPSS

0.00380

출처

Do you want to use VulDB in your project?

Use the official API to access entries easily!