Katalog CVE

CVE-2026-9183

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 11 - wyżej niż 11% wszystkich znanych CVE

Streszczenie

Wtyczka 24liveblog dla WordPressa do wersji 2.2 włącznie ujawnia wrażliwe dane uwierzytelniające konta 24liveblog (token API, token odświeżania, identyfikator użytkownika i nazwę użytkownika) każdemu uwierzytelnionemu użytkownikowi z dostępem na poziomie współautora lub wyższym. Dzieje się tak, ponieważ funkcja lb24_block_enqueue_scripts() emituje te dane przez wp_localize_script() jako obiekt JavaScript lb24BlockData podczas ładowania edytora bloków.

Ocena ryzyka

Atakujący z niskimi uprawnieniami (współautor) może przejąć kontrolę nad kontem 24liveblog ofiary, uzyskując dostęp do API i potencjalnie modyfikując lub kradnąc treści transmisji na żywo, co narusza poufność i integralność danych.

Rekomendacja

Niezwłocznie zaktualizuj wtyczkę 24liveblog do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest dostępna, tymczasowo ogranicz dostęp do edytora bloków tylko dla administratorów lub wyłącz wtyczkę.

Oryginalny opis (angielski, źródło NVD)

The 24liveblog - live blog tool plugin for WordPress is vulnerable to Exposure of Sensitive Information in versions up to, and including, 2.2. This is due to the lb24_block_enqueue_scripts() function being hooked to enqueue_block_editor_assets and, for any non-administrator user, falling back to loading the administrator-configured site-wide 24liveblog integration secrets (lb24_token, lb24_refresh_token, lb24_uid, lb24_uname) from the options table via get_option() and emitting them through wp_localize_script() as the lb24BlockData JavaScript object. This makes it possible for authenticated attackers, with contributor-level access and above, to extract third-party 24liveblog account credentials (including the API token and refresh token) by simply opening the block editor and inspecting the page source.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS