Katalog CVE

CVE-2026-53738

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.04%

Percentyl 11 - wyżej niż 11% wszystkich znanych CVE

Streszczenie

W wersji 1.5.4, użytkownicy z rolą niebędącą administratorem, ale z włączonymi wtyczkami, mogą wykonywać operacje w handlerze AJAX cdp_action_handling. Atakujący mogą usuwać posty lub nadpisywać ustawienia wtyczek, omijając kontrole uprawnień.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowane usunięcie postów oraz modyfikację ustawień wtyczek, co może prowadzić do utraty danych i naruszenia integralności systemu.

Rekomendacja

Zaleca się ograniczenie dostępu do funkcji AJAX dla ról nieadministratorskich oraz przeprowadzenie audytu uprawnień wtyczek.

Oryginalny opis (angielski, źródło NVD)

Copy & Delete Posts through 1.5.4 lets any plugin-enabled non-admin role invoke every operation in the cdp_action_handling AJAX handler. Attackers with an enabled role can delete posts or overwrite plugin settings via the f parameter, bypassing per-function capability checks.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS