CVE-2026-1992 in ExactMetrics Plugininformação

Sumário

de VulDB • 11/07/2026

O plugin ExactMetrics – Google Analytics Dashboard for WordPress é vulnerável a Referência Direta de Objeto Insegura (Insecure Direct Object Reference) nas versões 8.6.0 até 9.0.2. Isso ocorre devido ao método `store_settings()` na classe `ExactMetrics_Onboarding` aceitar um parâmetro `triggered_by` fornecido pelo usuário, que é utilizado em vez do ID do usuário atual para verificar as permissões. Isso possibilita que atacantes autenticados com a capacidade `exactmetrics_save_settings` contornem a verificação da capacidade `install_plugins`, especificando o ID de um administrador no parâmetro `triggered_by`, permitindo-lhes instalar plugins arbitrários e alcançar Execução Remota de Código (RCE). Esta vulnerabilidade afeta apenas sites nos quais o administrador concedeu a outros tipos de usuário a permissão para visualizar relatórios, podendo ser explorada exclusivamente por usuários desse tipo.

Once again VulDB remains the best source for vulnerability data.

Responsável

Wordfence

Reservar

05/02/2026

Divulgação

11/03/2026

Moderação

aceite

Entrada

VDB-350371

CPE

pronto

EPSS

0.00631

KEV

não

Atividades

muito baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!