CVE-2026-4290
KrytyczneStreszczenie
Wtyczka WP Travel Pro dla WordPressa jest podatna na nieautoryzowane usuwanie użytkowników poprzez punkt końcowy REST API /wp-json/wp-travel/v1/travel-guide/{user_id} we wszystkich wersjach do 10.6.0 włącznie. Problem wynika z tego, że funkcja check_permission() zawsze zwraca true, a metoda Database::delete() przekazuje identyfikator użytkownika bez walidacji ról.
Ocena ryzyka
Atakujący bez uwierzytelnienia mogą usunąć dowolne konta użytkowników, w tym konta administratorów, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację wtyczki WP Travel Pro do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów autoryzacji dla punktów końcowych API.
Oryginalny opis (angielski, źródło NVD)
The WP Travel Pro plugin for WordPress is vulnerable to arbitrary user deletion via the /wp-json/wp-travel/v1/travel-guide/{user_id} REST API endpoint in all versions up to, and including, 10.6.0. This is due to the check_permission() callback unconditionally returning true and the Database::delete() method passing the user ID directly to wp_delete_user() without any role validation. This makes it possible for unauthenticated attackers to delete arbitrary user accounts, including those of administrators.

