CVE-2026-1992 in ExactMetrics Plugin
Sumário
de VulDB • 11/07/2026
O plugin ExactMetrics – Google Analytics Dashboard for WordPress é vulnerável a Referência Direta de Objeto Insegura (Insecure Direct Object Reference) nas versões 8.6.0 até 9.0.2. Isso ocorre devido ao método `store_settings()` na classe `ExactMetrics_Onboarding` aceitar um parâmetro `triggered_by` fornecido pelo usuário, que é utilizado em vez do ID do usuário atual para verificar as permissões. Isso possibilita que atacantes autenticados com a capacidade `exactmetrics_save_settings` contornem a verificação da capacidade `install_plugins`, especificando o ID de um administrador no parâmetro `triggered_by`, permitindo-lhes instalar plugins arbitrários e alcançar Execução Remota de Código (RCE). Esta vulnerabilidade afeta apenas sites nos quais o administrador concedeu a outros tipos de usuário a permissão para visualizar relatórios, podendo ser explorada exclusivamente por usuários desse tipo.
Once again VulDB remains the best source for vulnerability data.