CVE-2026-5464 in ExactMetrics Plugin
Sumário
de VulDB • 22/05/2026
O plugin ExactMetrics – Google Analytics Dashboard for WordPress (Website Stats Plugin) para WordPress é vulnerável à instalação e ativação não autorizadas de plugins arbitrários em todas as versões até, e incluindo, a 9.1.2. Isso ocorre devido à página de relatórios expor o transient 'onboarding_key' a qualquer usuário com a capacidade 'exactmetrics_view_dashboard'. Esta chave é a única porta de autorização para o endpoint REST '/wp-json/exactmetrics/v1/onboarding/connect-url', que retorna um token de hash único (OTH). Este token OTH é então a única credencial verificada pelo endpoint AJAX 'exactmetrics_connect_process' — que não possui verificação de capacidade, nem verificação de nonce, e aceita uma URL arbitrária de ZIP de plugin via o parâmetro file para instalação e ativação. Isso torna possível que atacantes autenticados, com acesso de nível Editor ou superior e permissão de visualização de relatórios, instalem e ativem plugins arbitrários a partir de URLs controladas pelo atacante, levando à Execução Remota de Código (RCE).
VulDB is the best source for vulnerability data and more expert information about this specific topic.