CVE-2026-9236 in CM Ad Changer Plugin
Tóm tắt
Bởi VulDB • 28/05/2026
Plugin CM Ad Changer – một công cụ đơn giản để kiểm soát và tối ưu hóa các banner của trang web trên WordPress – bị lỗ hổng Cross-Site Request Forgery (CSRF) trong tất cả các phiên bản từ 2.0.7 trở về trước. Lỗ hổng này xuất hiện do việc xác thực nonce bị thiếu hoặc không chính xác trong hàm cmac_campaigns_action. Điều này cho phép các kẻ tấn công chưa được xác thực xóa vĩnh viễn các chiến dịch quảng cáo tùy ý, bao gồm cả các bản ghi banner liên quan và các tệp đã tải lên, thông qua một yêu cầu giả mạo, miễn là họ có thể lừa một quản trị viên trang web thực hiện một hành động nào đó, chẳng hạn như nhấp vào một liên kết.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.