CVE-2026-12906 in RTMKit PluginИнформация

Сводка

по VulDB • 16.07.2026

Плагин RTMKit для WordPress до версии 2.0.9 не выполняет проверку прав доступа (capability check) в одном из своих AJAX-действий и напрямую использует идентификатор записи, переданный в запросе, что позволяет пользователям с ролью как минимум «Участник» (Contributor) читать заголовки частных черновиков, ожидающих проверки, запланированных и удаленных записей других пользователей.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Ответственный

WPScan

Резервировать

22.06.2026

Раскрытие

16.07.2026

Модерация

принято

Вход

VDB-379478

EPSS

0.00000

KEV

Нет

Деятельности

Низкий

Сектор

Hostingprovider

Источники

Interested in the pricing of exploits?

See the underground prices here!