CVE-2026-13468
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 29 — wyżej niż 29% wszystkich znanych CVE
Streszczenie
Wtyczka Visualizer – Tables & Charts Manager z wbudowanym generatorem AI dla WordPressa do wersji 4.0.3 włącznie zawiera podatność na pominięcie autoryzacji. Niezautoryzowani atakujący mogą uzyskać dostęp i eksportować zawartość dowolnego wykresu, w tym w statusach szkicu, prywatnym, oczekującym, przyszłym lub koszu, jako CSV, Excel lub HTML przez endpoint REST /wp-json/visualizer/v1/action/{chart}/{type}/.
Ocena ryzyka
Ryzyko polega na możliwości wycieku poufnych danych biznesowych lub klientów przechowywanych w wykresach, które powinny być chronione. Atakujący nie musi być zalogowany, co ułatwia eksploatację i może prowadzić do naruszenia prywatności oraz strat reputacyjnych.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę Visualizer do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest możliwa, tymczasowo wyłącz endpoint REST /wp-json/visualizer/v1/action/ za pomocą reguł firewall lub wtyczki bezpieczeństwa.
Oryginalny opis (angielski, źródło NVD)
The Visualizer – Tables & Charts Manager with Built-in AI Generator plugin for WordPress is vulnerable to authorization bypass in all versions up to, and including, 4.0.3. This is due to the plugin not properly verifying that a user is authorized to perform an action. This makes it possible for unauthenticated attackers to access and export the contents of any visualizer chart on the site — including charts in draft, private, pending, future, or trash status — as CSV, Excel, or HTML via the /wp-json/visualizer/v1/action/{chart}/{type}/ REST endpoint. This bypass is particularly impactful because the standard WordPress REST endpoint for the non-public 'visualizer' custom post type correctly enforces capability checks and returns HTTP 401 to unauthenticated callers, whereas this plugin-registered route circumvents that protection entirely.

