CVE-2026-8386
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
Wtyczka WP Go Maps dla WordPressa przed wersją 10.0.10 nie filtruje stanu zatwierdzenia na publicznym punkcie końcowym REST dla pojedynczych znaczników, co pozwala nieautoryzowanym użytkownikom na dostęp do rekordów znaczników, które nie zostały jeszcze zatwierdzone przez administratora.
Ocena ryzyka
Organizacja może być narażona na ujawnienie danych osobowych (PII) oraz informacji geograficznych, co może prowadzić do naruszenia prywatności użytkowników.
Rekomendacja
Zaleca się aktualizację wtyczki WP Go Maps do wersji 10.0.10 lub nowszej, aby zabezpieczyć publiczny dostęp do niezatwierdzonych znaczników.
Oryginalny opis (angielski, źródło NVD)
The WP Go Maps WordPress plugin before 10.0.10 does not perform any approval-state filtering on its public single-marker REST endpoint, allowing unauthenticated users to retrieve marker records that an administrator has not yet approved for public display, including any PII placed in the address and description fields and the marker's geographic coordinates.

