Katalog CVE

CVE-2026-9013

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 17 — wyżej niż 17% wszystkich znanych CVE

Streszczenie

Wtyczka Bogo dla WordPressa jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do 3.9.1 włącznie. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie subskrybenta i wyżej wydobycie surowego tytułu, treści, fragmentu oraz hasła dowolnego prywatnego, roboczego lub chronionego hasłem wpisu.

Ocena ryzyka

Podatność ta pozwala na dostęp do poufnych informacji, co może prowadzić do naruszenia prywatności użytkowników oraz wycieku danych. Atakujący mogą wykorzystać tę lukę do uzyskania dostępu do treści, które powinny być chronione.

Rekomendacja

Zaleca się aktualizację wtyczki Bogo do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto rozważyć ograniczenie dostępu do funkcji tłumaczenia dla subskrybentów.

Oryginalny opis (angielski, źródło NVD)

The Bogo plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and including, 3.9.1 via the bogo_rest_create_post_translation. This makes it possible for authenticated attackers, with subscriber-level access and above, to extract the raw title, content, excerpt, and password of any private, draft, or password-protected post by triggering its duplication via the translation endpoint and reading the returned title.raw, content.raw, and excerpt.raw fields of the duplicated post. This vulnerability is exploitable against posts written in a non-default locale, as authenticated subscribers can request a translation into the site's default locale to pass the locale-only permission gate. While subscribers can trigger the endpoint, this is only impactful at the Contributor-level as they can actually read the duplicated content.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS