Katalog CVE

CVE-2026-9184

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 12 - wyżej niż 12% wszystkich znanych CVE

Streszczenie

Wtyczka 24liveblog dla WordPressa jest podatna na nieautoryzowaną modyfikację danych z powodu braku weryfikacji uprawnień w funkcji update_lb24_token() AJAX. Atakujący z dostępem na poziomie autora mogą nadpisać wartości meta użytkowników oraz opcje globalne wtyczki.

Ocena ryzyka

Organizacja może być narażona na przejęcie integracji wtyczki z usługą 24liveblog, co może prowadzić do nieautoryzowanego dostępu do danych użytkowników, w tym administratorów.

Rekomendacja

Zaleca się aktualizację wtyczki 24liveblog do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie dodatkowych kontroli uprawnień w funkcji update_lb24_token().

Oryginalny opis (angielski, źródło NVD)

The 24liveblog - live blog tool plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the update_lb24_token() AJAX function in versions up to, and including, 2.2. The handler only verifies the 'lb24' nonce (which is generated and localized to any user with block editor access via lb24_block_enqueue_scripts()) and does not verify the user's capabilities or that the supplied user_id belongs to the current user. This makes it possible for authenticated attackers, with author-level access and above, to overwrite the lb24_token, lb24_uid, lb24_refresh_token, and lb24_uname user meta values of any user (including administrators) as well as the corresponding site-wide options, effectively hijacking the plugin's integration with the 24liveblog service.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS