CVE-2026-9676
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 — wyżej niż 1% wszystkich znanych CVE
Streszczenie
Wtyczka F4 Post Tree dla WordPressa przed wersją 2.0.5 nie sprawdza uprawnień ani nie weryfikuje tokena CSRF/nonce w jednej z akcji AJAX, co pozwala uwierzytelnionym użytkownikom z dostępem na poziomie Subskrybenta i wyższym na modyfikowanie rodzica oraz kolejności menu dowolnych wpisów.
Ocena ryzyka
Ryzyko polega na tym, że atakujący z niskimi uprawnieniami może zmienić strukturę i kolejność dowolnych wpisów, co może prowadzić do dezorganizacji treści, manipulacji nawigacją lub ukrycia ważnych informacji.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki F4 Post Tree do wersji 2.0.5 lub nowszej, która zawiera niezbędne zabezpieczenia.
Oryginalny opis (angielski, źródło NVD)
The F4 Post Tree WordPress plugin before 2.0.5 does not perform capability checks or CSRF/nonce verification on one of its AJAX actions, allowing authenticated users with Subscriber-level access and above to modify the parent and menu order of arbitrary posts.

