Katalog CVE

CVE-2026-9619

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.31%

Percentyl 22 — wyżej niż 22% wszystkich znanych CVE

Streszczenie

Wtyczka Reviews and Rating – Docplanner dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 1.1.4 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika do wykonywania określonych działań.

Ocena ryzyka

Zagrożenie polega na tym, że uwierzytelnieni atakujący z dostępem na poziomie subskrybenta mogą wywołać zdalne skanowanie zewnętrznych stron internetowych oraz zapisywać zebrane dane recenzji w tabeli bazy danych wp_dp_reviews.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć lukę w autoryzacji oraz ograniczyć dostęp do funkcji wtyczki tylko dla uprawnionych użytkowników.

Oryginalny opis (angielski, źródło NVD)

The Reviews and Rating – Docplanner plugin for WordPress is vulnerable to authorization bypass in all versions up to, and including, 1.1.4. This is due to the plugin not properly verifying that a user is authorized to perform an action. This makes it possible for authenticated attackers, with subscriber-level access and above, to trigger outbound scraping of external websites and write scraped review data into the wp_dp_reviews database table, as well as send feature-request emails from the site administrator's email address.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS