Katalog CVE

CVE-2026-10096

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

Wtyczka Qi Blocks dla WordPressa jest podatna na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR) w wersjach do 1.4.9 włącznie. Brak walidacji parametru 'page_id' umożliwia uwierzytelnionym atakującym z dostępem autora i wyższym modyfikację stylów Qi Blocks w dowolnych postach, szablonach lub widgetach, których nie są właścicielami, w tym na powierzchniach ogólnoserwisowych poprzez zarezerwowane wartości 'template' i 'widget'.

Ocena ryzyka

Ryzyko obejmuje nieautoryzowane modyfikacje wyglądu stron, ukrywanie treści oraz degradację dowolnej strony w witrynie, co może prowadzić do defacementu i utraty zaufania użytkowników.

Rekomendacja

Zaleca się natychmiastową aktualizację wtyczki Qi Blocks do najnowszej wersji, która usuwa tę podatność, oraz weryfikację uprawnień użytkowników z rolą autora.

Oryginalny opis (angielski, źródło NVD)

The Qi Blocks plugin for WordPress is vulnerable to Insecure Direct Object Reference in all versions up to, and including, 1.4.9 via the 'page_id' parameter due to missing validation on a user controlled key. This makes it possible for authenticated attackers, with author-level access and above, to modify the stored Qi Blocks styles of arbitrary posts, templates, or widgets they do not own — including site-wide surfaces via the reserved 'template' and 'widget' page_id values — enabling unauthorized frontend defacement, content hiding, and degradation of any page on the site. The endpoint's permission_callback checks only the generic edit_posts and publish_posts capabilities, meaning any user with the built-in Author role satisfies the check regardless of post ownership.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS