CVE-2026-5149
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
Wtyczka RTMKit dla WordPressa jest podatna na błędną autoryzację we wszystkich wersjach do 2.0.7 włącznie. Problem wynika z braku sprawdzenia uprawnień w punkcie końcowym AJAX get_submission_content, co pozwala na dostęp do danych zgłoszeń formularzy przez nieuprawnionych użytkowników.
Ocena ryzyka
Atakujący z poziomem dostępu Contributor i wyżej mogą przeglądać zgłoszenia formularzy innych użytkowników, co prowadzi do naruszenia prywatności danych.
Rekomendacja
Zaleca się aktualizację wtyczki RTMKit do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych kontroli uprawnień dla punktów końcowych AJAX.
Oryginalny opis (angielski, źródło NVD)
The RTMKit plugin for WordPress is vulnerable to Incorrect Authorization in all versions up to, and including, 2.0.7 This is due to the get_submission_content AJAX endpoint lacking a capability check to verify that a user has permission to access the requested form submission data. This makes it possible for authenticated attackers, with Contributor-level access and above, to view arbitrary form submissions from other users by iterating the entries_id parameter.

