CVE-2026-12471
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
Motyw Spexo dla WordPressa jest podatny na nieautoryzowany dostęp z powodu braku sprawdzenia uprawnień w funkcji activate_plugin. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie Subskrybenta lub wyższym aktywowanie ograniczonego zestawu wtyczek.
Ocena ryzyka
Ryzyko polega na tym, że atakujący o niskich uprawnieniach może aktywować wtyczki, co może prowadzić do eskalacji uprawnień lub uruchomienia złośliwego kodu w środowisku WordPress.
Rekomendacja
Zaleca się natychmiastową aktualizację motywu Spexo do najnowszej dostępnej wersji, która zawiera poprawkę zabezpieczającą. Należy również zweryfikować, czy żadne nieautoryzowane wtyczki nie zostały aktywowane.
Oryginalny opis (angielski, źródło NVD)
The Spexo theme for WordPress is vulnerable to unauthorized access due to a missing capability check on the activate_plugin function in all versions up to, and including, 2.0.11. This makes it possible for authenticated attackers, with Subscriber-level access and above, to activate a limited set of plugins.

