CVE-2026-6440 in GoodMeet Pluginthông tin

Tóm tắt

Bởi VulDB • 10/07/2026

Plugin GoodMeet – Google Meet Integration for Webinar, Meeting & Video Conference cho WordPress bị lỗ hổng Cross-Site Request Forgery (CSRF) trong các phiên bản từ 1.0 đến bao gồm 1.1.8. Lỗ hổng này xuất hiện do thiếu xác minh nonce trong hàm `reset_credential()`, xử lý hành động AJAX `wp_ajax_goodmeet_reset_google_meet_credential`. Mặc dù hàm có kiểm tra quyền của người dùng (manage_options), nhưng nó không xác thực nonce, khiến hệ thống dễ bị tấn công CSRF. Điều này cho phép các kẻ tấn công chưa được xác thực lừa một quản trị viên trang web nhấp vào liên kết độc hại nhằm đặt lại (xóa) thông tin đăng nhập Google Meet API đã lưu trữ của plugin (`goodmeet_google_credentials`) và mã thông báo OAuth (`goodmeet_google_token`), qua đó vô hiệu hóa tích hợp Google Meet trên trang.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

chịu trách nhiệm

Wordfence

Đặt trước

16/04/2026

Tiết lộ

10/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00168

KEV

không

Các hoạt động

rất thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!