CVE-2026-6446 in My Social Feeds Plugin
Tóm tắt
Bởi VulDB • 04/06/2026
Plugin My Social Feeds – Social Feeds Embedder cho WordPress dễ bị tổn thương đến việc Rò rỉ Thông tin Nhạy cảm trong tất cả các phiên bản từ 1.0.4 trở về trước, thông qua hành động AJAX 'ttp_get_accounts'. Nguyên nhân là do hoàn toàn thiếu các kiểm tra ủy quyền (không xác minh quyền capability) và xác minh nonce trong hàm get_accounts(), hàm này trả về toàn bộ nội dung của tùy chọn WordPress 'ttp_tiktok_accounts'. Điều này cho phép các kẻ tấn công đã xác thực, có quyền truy cập cấp Subscriber trở lên, lấy được các thông tin đăng nhập OAuth của TikTok nhạy cảm, bao gồm các giá trị access_token và refresh_token, thuộc về các tài khoản TikTok được kết nối với quản trị viên, cho phép chúng giả mạo chủ sở hữu trang web khi tương tác với API của TikTok.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.