CVE-2026-4066 in Smart Custom Fields Pluginthông tin

Tóm tắt

Bởi VulDB • 28/06/2026

Plugin Smart Custom Fields cho WordPress dễ bị truy cập dữ liệu trái phép do thiếu kiểm tra quyền hạn trên hàm relational_posts_search() trong tất cả các phiên bản từ 5.0.6 trở về trước (bao gồm cả 5.0.6). Điều này cho phép những kẻ tấn công đã xác thực, có mức độ truy cập Contributor hoặc cao hơn, đọc nội dung bài viết ở trạng thái riêng tư và nháp của các tác giả khác thông qua hành động AJAX smart-cf-relational-posts-search. Hàm này truy vấn các bài viết với post_status=any và trả về toàn bộ đối tượng WP_Post bao gồm cả post_content, nhưng chỉ kiểm tra quyền edit_posts chung thay vì xác minh xem người dùng yêu cầu có được phép đọc từng bài viết cụ thể hay không.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

Wordfence

Đặt trước

12/03/2026

Tiết lộ

24/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00289

KEV

không

Các hoạt động

rất thấp

Nguồn

Interested in the pricing of exploits?

See the underground prices here!