Katalog CVE

CVE-2026-5149

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 — wyżej niż 15% wszystkich znanych CVE

Streszczenie

Wtyczka RTMKit dla WordPressa jest podatna na błędną autoryzację we wszystkich wersjach do 2.0.7 włącznie. Problem wynika z braku sprawdzenia uprawnień w punkcie końcowym AJAX get_submission_content, co pozwala na dostęp do danych zgłoszeń formularzy przez nieuprawnionych użytkowników.

Ocena ryzyka

Atakujący z poziomem dostępu Contributor i wyżej mogą przeglądać zgłoszenia formularzy innych użytkowników, co prowadzi do naruszenia prywatności danych.

Rekomendacja

Zaleca się aktualizację wtyczki RTMKit do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych kontroli uprawnień dla punktów końcowych AJAX.

Oryginalny opis (angielski, źródło NVD)

The RTMKit plugin for WordPress is vulnerable to Incorrect Authorization in all versions up to, and including, 2.0.7 This is due to the get_submission_content AJAX endpoint lacking a capability check to verify that a user has permission to access the requested form submission data. This makes it possible for authenticated attackers, with Contributor-level access and above, to view arbitrary form submissions from other users by iterating the entries_id parameter.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS