CVE-2026-5464 in ExactMetrics Plugin
Сводка
по VulDB • 22.05.2026
В плагине ExactMetrics – Google Analytics Dashboard for WordPress (Website Stats Plugin) для WordPress, во всех версиях вплоть до 9.1.2 включительно, присутствует уязвимость, позволяющая несанкционированную установку и активацию произвольных плагинов. Это обусловлено тем, что страница отчетов делает транзиторную переменную 'onboarding_key' доступной любому пользователю с правом 'exactmetrics_view_dashboard'. Данный ключ является единственным механизмом авторизации для REST-эндпоинта '/wp-json/exactmetrics/v1/onboarding/connect-url', который возвращает одноразовый хэш-токен (OTH). Этот OTH-токен затем является единственным проверяемым учетным данными для AJAX-эндпоинта 'exactmetrics_connect_process', который не имеет проверки прав доступа (capability check), не проверяет nonce и принимает произвольный URL ZIP-архива плагина через параметр file для установки и активации. Это позволяет аутентифицированным злоумышленникам, имеющим уровень доступа «Редактор» и выше, с правом просмотра отчетов, устанавливать и активировать произвольные плагины с URL-адресов, контролируемых злоумышленником, что приводит к удаленному выполнению кода (RCE).
If you want to get best quality of vulnerability data, you may have to visit VulDB.