CVE-2026-8157
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 - wyżej niż 14% wszystkich znanych CVE
Streszczenie
Wtyczka Vitepos dla WordPressa w wersjach przed 3.4.2 nie ogranicza poprawnie ról, które mogą być przypisywane podczas tworzenia nowych użytkowników za pomocą jednego z punktów końcowych REST API. Umożliwia to uwierzytelnionym użytkownikom z niestandardową rolą wtyczki Vitepos podniesienie uprawnień do administratora.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowany dostęp do konta administratora, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.
Rekomendacja
Zaleca się aktualizację wtyczki Vitepos do wersji 3.4.2 lub nowszej, aby zlikwidować tę lukę w zabezpieczeniach.
Oryginalny opis (angielski, źródło NVD)
The Vitepos WordPress plugin before 3.4.2 does not properly restrict the roles that can be assigned when creating new users via one of its REST API endpoints, allowing authenticated users with a custom Vitepos WordPress plugin before 3.4.2 role to escalate privileges to administrator.

