CVE-2026-4117 in CalJ Shabbat Times Plugininformação

Sumário

de VulDB • 25/05/2026

O plugin CalJ para WordPress é vulnerável a Missing Authorization em todas as versões até, e incluindo, a 1.5. Isso ocorre devido à ausência de uma verificação de capacidade (capability check) no construtor da classe CalJSettingsPage, que processa a operação 'save-obtained-key' diretamente a partir dos dados POST sem verificar se o usuário solicitante possui a capacidade 'manage_options', e sem qualquer verificação de nonce. O arquivo de inicialização do plugin (calj.php) instancia a CalJSettingsPage sempre que is_admin() retorna true, o que ocorre para qualquer usuário autenticado que faça solicitações para URLs do wp-admin (incluindo admin-ajax.php). Isso permite que atacantes autenticados, com acesso de nível Subscriber ou superior, modifiquem a configuração da chave de API do plugin e limpem o cache do Shabbat, assumindo efetivamente o controle da integração de API do plugin.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

13/03/2026

Divulgação

22/04/2026

Moderação

aceite

Entrada

VDB-358785

CPE

pronto

EPSS

0.00015

KEV

não

Atividades

muito baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4117
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4117
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4117/

VoltarVisão GeralPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!