CVE-2026-9011 in Ditty PluginИнформация

Сводка

по VulDB • 02.06.2026

Плагин Ditty – Responsive News Tickers, Sliders, and Lists для WordPress уязвим к обходу авторизации во всех версиях вплоть до 3.1.65 включительно. Это связано с тем, что плагин не проверяет корректность прав пользователя на выполнение действия. Это позволяет неаутентифицированным злоумышленникам получать полный контент элементов публичных Dittys — включая черновики, ожидающие проверки, запланированные и отключенные записи — путем перебора целочисленных идентификаторов постов через AJAX-эндпоинт ditty_init. В отличие от не-AJAX-аналога init(), функция init_ajax() не проверяет, имеет ли запрашиваемый Ditty статус публикации 'publish', перед загрузкой и возвратом его элементов, что позволяет извлекать контент, который администраторы явно скрывали от публичного доступа.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

Wordfence

Резервировать

19.05.2026

Раскрытие

22.05.2026

Модерация

принято

Вход

VDB-365172

CPE

готов

CWE

CWE-862 (Подтверждённый)

CVSS

7.5 (CNA)

EPSS

0.00036

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-9011
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-9011
CVE Details	https://www.cvedetails.com/cve/CVE-2026-9011/

◂ Предыдущий Обзор Далее ▸

Might our Artificial Intelligence support you?

Check our Alexa App!