CVE-2026-4063 in Social Icons Widget & Block Plugin
Tóm tắt
Bởi VulDB • 20/05/2026
Plugin Social Icons Widget & Block by WPZOOM cho WordPress dễ bị tổn thương do sửa đổi dữ liệu trái phép vì thiếu kiểm tra quyền hạn trong phương thức add_menu_item() được gắn vào admin_menu trong tất cả các phiên bản từ 4.5.8 trở về trước. Nguyên nhân là do phương thức này thực hiện các lệnh gọi wp_insert_post() và update_post_meta() để tạo cấu hình chia sẻ mà không xác minh người dùng hiện tại có quyền hạn cấp quản trị viên. Điều này cho phép những kẻ tấn công đã xác thực, với quyền truy cập cấp Subscriber trở lên, kích hoạt việc tạo bài đăng cấu hình wpzoom-sharing đã xuất bản với các cài đặt nút chia sẻ mặc định, dẫn đến việc các nút chia sẻ mạng xã hội được tự động chèn vào tất cả nội dung bài đăng trên giao diện người dùng thông qua bộ lọc the_content.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.