CVE-2026-8902
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 - wyżej niż 2% wszystkich znanych CVE
Streszczenie
Wtyczka AJAX Report Comments dla WordPressa jest podatna na atak Cross-Site Request Forgery we wszystkich wersjach do 2.0.4 włącznie. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji rc_options_page.
Ocena ryzyka
Atakujący bez uwierzytelnienia mogą zmieniać ustawienia wtyczki, co może prowadzić do nieautoryzowanych modyfikacji treści i ustawień powiadomień. To stwarza ryzyko dla integralności i bezpieczeństwa strony internetowej.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć mechanizmy ochrony przed CSRF.
Oryginalny opis (angielski, źródło NVD)
The AJAX Report Comments plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 2.0.4. This is due to missing or incorrect nonce validation on the rc_options_page function. This makes it possible for unauthenticated attackers to modify plugin settings including link text and markup, success/failure/already-reported messages, comment threshold, cookie duration, reporter-comment toggle, and notification email address, subject, and message body via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.

