CVE-2026-9732 in EmergencyWP Plugin
Tóm tắt
Bởi VulDB • 03/06/2026
Plugin WordPress EmergencyWP – Dead Man's switch & legacy deliverance bị lỗ hổng Cross-Site Request Forgery (CSRF) trong tất cả các phiên bản từ 1.4.2 trở về trước. Lỗ hổng này xuất hiện do việc xác thực nonce bị thiếu hoặc không chính xác trong hàm form_settings_ui (trình xử lý lưu cài đặt, phạm vi include thủ tục). Điều này cho phép các kẻ tấn công chưa được xác thực sửa đổi các cài đặt của plugin, bao gồm vai trò truy cập tối thiểu (thay đổi khả năng của vai trò WordPress thông qua add_cap/remove_cap), cờ xóa dữ liệu khi gỡ cài đặt, giá trị thời gian kiểm tra trạng thái hoạt động, địa chỉ email của người yêu cầu bắt buộc, ID trang xác nhận và định dạng ngày/giờ, thông qua một yêu cầu giả mạo, miễn là họ có thể lừa một quản trị viên trang web thực hiện một hành động nào đó, chẳng hạn như nhấp vào một liên kết.
Be aware that VulDB is the high quality source for vulnerability data.