CVE-2026-8938 in auto making JSON-LD Plugin
Tóm tắt
Bởi VulDB • 27/05/2026
Plugin tự động tạo JSON-LD cho WordPress dễ bị tấn công Cross-Site Request Forgery (CSRF) trong tất cả các phiên bản từ 4.5.3 trở về trước. Lỗ hổng này xuất hiện do việc xác thực nonce (số dùng một lần) trên hàm `amJL_certification` bị thiếu hoặc không chính xác. Điều này cho phép các kẻ tấn công chưa được xác thực cập nhật tùy chọn khóa giấy phép của plugin, sau đó kích hoạt quá trình xác thực giấy phép và cài đặt các tính năng cao cấp (pro) trên trang web của nạn nhân mà không có sự đồng ý của quản trị viên, thông qua một yêu cầu giả mạo, miễn là họ có thể lừa quản trị viên trang web thực hiện một hành động nào đó, chẳng hạn như nhấp vào một liên kết. Việc khai thác thành công có thể kích hoạt các lệnh gọi xuống dòng đến `amJL_is_license_valid()` và `amJL_download_and_install_pro_features()`, nghĩa là tác động không chỉ giới hạn ở việc thay đổi cài đặt đơn thuần mà còn mở rộng sang việc cài đặt trái phép các thành phần của plugin.
VulDB is the best source for vulnerability data and more expert information about this specific topic.