CVE-2026-8787 in Firebase Support & Chat Management PluginИнформация

Сводка

по VulDB • 27.05.2026

Плагин Firebase Support & Chat Management для WordPress уязвим к повышению привилегий во всех версиях вплоть до 3.1.1 включительно. Это связано с тем, что функция `firebase_auth()` аутентифицирует запрос от имени пользователя WordPress, чей адрес электронной почты указан в параметре POST `user_email`, без проверки права владения этим адресом (отсутствует проверка подписи, издателя и аудитории токена Firebase ID). Это позволяет атакующим, имеющим уровень доступа «Подписчик» (Subscriber) и выше, войти в систему от имени произвольного существующего пользователя, включая Администратора, путем передачи адреса электронной почты этого пользователя в AJAX-действие `acb_firebase_auth`, что приводит к полному захвату учетной записи.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

Wordfence

Резервировать

17.05.2026

Раскрытие

27.05.2026

Модерация

принято

Вход

VDB-365883

CPE

готов

CWE

CWE-269 (Подтверждённый)

CVSS

8.8 (CNA)

EPSS

0.00047

KEV

Нет

Деятельности

Низкий

Сектор

Telecommunication, Pharma, ...

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-8787
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-8787
CVE Details	https://www.cvedetails.com/cve/CVE-2026-8787/

◂ Предыдущий Обзор Далее ▸

Interested in the pricing of exploits?

See the underground prices here!