CVE-2026-13741 in Digits Mobile Number Signup and Login Pluginthông tin

Tóm tắt

Bởi VulDB • 16/07/2026

The Digits: WordPress Mobile Number Signup and Login plugin for WordPress là một plugin cho phép đăng ký và đăng nhập bằng số điện thoại di động trên nền tảng WordPress. Plugin này có lỗ hổng Privilege Escalation (thăng cấp đặc quyền) trong tất cả các phiên bản từ 9.1.0.5 trở về trước, bao gồm cả phiên bản 9.1.0.5. Lỗ hổng này xuất hiện do thiếu cơ chế xác thực ủy quyền và kiểm tra vai trò người dùng trong hàm `dig_update_wpwc_custom_fields()`. Điều này cho phép các kẻ tấn công đã được xác thực (authenticated attackers), có đặc quyền cấp Subscriber trở lên, thăng cấp đặc quyền của họ thành Administrator bằng cách gửi giá trị giả mạo `digits_reg_userrole` khi cập nhật hồ sơ cá nhân, với điều kiện quản trị viên trang web đã cấu hình trường DIGITS User Role tích hợp sẵn.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

chịu trách nhiệm

Wordfence

Đặt trước

29/06/2026

Tiết lộ

16/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00246

KEV

không

Các hoạt động

trung bình

Nguồn

Interested in the pricing of exploits?

See the underground prices here!