CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-6075

High
Published: Translated: NVD NIST

Summary

Wtyczka Media Library Assistant dla WordPressa jest podatna na atak typu Cross-Site Request Forgery w wersjach do 3.35 włącznie. Brak weryfikacji nonce w obsłudze akcji zbiorczych w zakładce ustawień umożliwia nieautoryzowanym atakującym oszukanie administratora w celu wykonania zbiorczych operacji usuwania, edytowania lub czyszczenia ustawień wtyczki oraz metadanych załączników.

Risk Assessment

Atakujący mogą wykorzystać tę podatność do manipulacji ustawieniami wtyczki, co może prowadzić do utraty danych lub nieautoryzowanych zmian w systemie. To stwarza poważne zagrożenie dla integralności i bezpieczeństwa strony internetowej.

Recommendation

Zaleca się aktualizację wtyczki Media Library Assistant do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć mechanizmy ochrony przed atakami CSRF, takie jak weryfikacja nonce w akcjach zbiorczych.

Original NVD description (English source)

The Media Library Assistant plugin for WordPress is vulnerable to Cross-Site Request Forgery in versions up to, and including, 3.35 This is due to missing nonce verification on the bulk action handlers in the settings tab handlers. This makes it possible for unauthenticated attackers to trick an administrator into performing bulk delete, edit, or purge operations on plugin settings and attachment metadata via a forged request.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS