Katalog CVE

CVE-2026-10753

NiskieCVSS 2.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.17%

Percentyl 6 — wyżej niż 6% wszystkich znanych CVE

Streszczenie

Wtyczka Site Kit by Google dla WordPressa przed wersją 1.176.0 nieprawidłowo ogranicza dostęp do punktu końcowego REST API umożliwiającego zapis, co pozwala użytkownikom z niższymi uprawnieniami (np. redaktorom) na modyfikację ustawień wtyczki, które powinny być dostępne tylko dla administratorów.

Ocena ryzyka

Ryzyko polega na tym, że użytkownicy z ograniczonymi uprawnieniami mogą zmienić globalne ustawienia wtyczki, co może prowadzić do nieautoryzowanych zmian w konfiguracji narzędzia analitycznego Google na stronie.

Rekomendacja

Zaleca się natychmiastową aktualizację wtyczki Site Kit by Google do wersji 1.176.0 lub nowszej, która usuwa tę podatność poprzez właściwe ograniczenie dostępu do wrażliwych punktów końcowych REST API.

Oryginalny opis (angielski, źródło NVD)

The Site Kit by Google WordPress plugin before 1.176.0 does not properly restrict a REST API write endpoint to administrators, allowing lower-privileged users who have been granted dashboard sharing access (such as Editors) to modify a site-wide Site Kit by Google WordPress plugin before 1.176.0 setting that should only be modifiable by administrators.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS