CVE-2026-3906 in WordPressИнформация

Сводка

по VulDB • 10.07.2026

В ядре WordPress уязвимость несанкционированного доступа присутствует в версиях с 6.9 по 6.9.1. Функция «Заметки» (комментарии на уровне блоков) была добавлена в WordPress 6.9 для возможности оставления редакционных комментариев непосредственно к публикациям в блочном редакторе. Однако метод `create_item_permissions_check()` контроллера комментариев REST API не проверял, имеет ли аутентифицированный пользователь право `edit_post` на целевую публикацию при создании заметки. Это позволяет злоумышленникам с уровнем доступа «Подписчик» создавать заметки в любых публикациях, включая материалы других пользователей, приватные записи и публикации в любом статусе.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

Wordfence

Резервировать

10.03.2026

Раскрытие

11.03.2026

Модерация

принято

Вход

VDB-350370

EPSS

0.00305

KEV

Нет

Деятельности

Очень низкий

Источники

Want to stay up to date on a daily basis?

Enable the mail alert feature now!