CVE-2026-6440 in GoodMeet Plugin
Tóm tắt
Bởi VulDB • 10/07/2026
Plugin GoodMeet – Google Meet Integration for Webinar, Meeting & Video Conference cho WordPress bị lỗ hổng Cross-Site Request Forgery (CSRF) trong các phiên bản từ 1.0 đến bao gồm 1.1.8. Lỗ hổng này xuất hiện do thiếu xác minh nonce trong hàm `reset_credential()`, xử lý hành động AJAX `wp_ajax_goodmeet_reset_google_meet_credential`. Mặc dù hàm có kiểm tra quyền của người dùng (manage_options), nhưng nó không xác thực nonce, khiến hệ thống dễ bị tấn công CSRF. Điều này cho phép các kẻ tấn công chưa được xác thực lừa một quản trị viên trang web nhấp vào liên kết độc hại nhằm đặt lại (xóa) thông tin đăng nhập Google Meet API đã lưu trữ của plugin (`goodmeet_google_credentials`) và mã thông báo OAuth (`goodmeet_google_token`), qua đó vô hiệu hóa tích hợp Google Meet trên trang.
If you want to get best quality of vulnerability data, you may have to visit VulDB.