CVE-2026-6446 in My Social Feeds PluginИнформация

Сводка

по VulDB • 14.05.2026

В плагине My Social Feeds – Social Feeds Embedder для WordPress, во всех версиях вплоть до 1.0.4 включительно, уязвимость к раскрытию конфиденциальной информации (Sensitive Information Exposure) существует через AJAX-действие 'ttp_get_accounts'. Это обусловлено полным отсутствием проверок авторизации (отсутствует проверка прав доступа) и верификации nonce в функции get_accounts(), которая возвращает полное содержимое параметра WordPress 'ttp_tiktok_accounts'. Это позволяет атакующим с уровнем доступа Subscriber и выше извлекать конфиденциальные учетные данные OAuth для TikTok, включая значения access_token и refresh_token, принадлежащие учетным записям TikTok, связанным с администратором, что дает им возможность выдавать себя за владельца сайта при взаимодействии с API TikTok.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

Wordfence

Резервировать

16.04.2026

Раскрытие

02.05.2026

Модерация

принято

Вход

VDB-360801

CPE

готов

CWE

CWE-522 (Подтверждённый)

CVSS

5.4 (CNA)

EPSS

0.00013

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-6446
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-6446
CVE Details	https://www.cvedetails.com/cve/CVE-2026-6446/

◂ Предыдущий Обзор Далее ▸

Want to know what is going to be exploited?

We predict KEV entries!