CVE-2026-6075
WysokieStreszczenie
Wtyczka Media Library Assistant dla WordPressa jest podatna na atak typu Cross-Site Request Forgery w wersjach do 3.35 włącznie. Brak weryfikacji nonce w obsłudze akcji zbiorczych w zakładce ustawień umożliwia nieautoryzowanym atakującym oszukanie administratora w celu wykonania zbiorczych operacji usuwania, edytowania lub czyszczenia ustawień wtyczki oraz metadanych załączników.
Ocena ryzyka
Atakujący mogą wykorzystać tę podatność do manipulacji ustawieniami wtyczki, co może prowadzić do utraty danych lub nieautoryzowanych zmian w systemie. To stwarza poważne zagrożenie dla integralności i bezpieczeństwa strony internetowej.
Rekomendacja
Zaleca się aktualizację wtyczki Media Library Assistant do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć mechanizmy ochrony przed atakami CSRF, takie jak weryfikacja nonce w akcjach zbiorczych.
Oryginalny opis (angielski, źródło NVD)
The Media Library Assistant plugin for WordPress is vulnerable to Cross-Site Request Forgery in versions up to, and including, 3.35 This is due to missing nonce verification on the bulk action handlers in the settings tab handlers. This makes it possible for unauthenticated attackers to trick an administrator into performing bulk delete, edit, or purge operations on plugin settings and attachment metadata via a forged request.

