Katalog CVE

CVE-2026-9709

WysokieCVSS 7.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 12 — wyżej niż 12% wszystkich znanych CVE

Streszczenie

Wtyczka Cornerstone dla WordPressa przed wersją 7.8.9 nie wymusza kontroli uprawnień na jednym ze swoich punktów końcowych REST API, co pozwala każdemu uwierzytelnionemu użytkownikowi na ujawnienie metadanych innych użytkowników, w tym ról, podglądów tokenów sesji oraz zapisanych pól dotyczących płatności/wysyłki.

Ocena ryzyka

Organizacja może być narażona na ujawnienie wrażliwych informacji o użytkownikach, co może prowadzić do naruszenia prywatności i bezpieczeństwa danych.

Rekomendacja

Zaleca się aktualizację wtyczki Cornerstone do wersji 7.8.9 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

The Cornerstone WordPress plugin before 7.8.9 does not enforce capability checks on one of its REST API routes, allowing any authenticated user to disclose the metadata of any other user, including roles, session token previews and stored billing/shipping fields. This affects the premium co Cornerstone page builder distributed bundled with the X , not the unrelated free `cornerstone` Cornerstone WordPress plugin before 7.8.9 (v0.8.x) on the .org repository.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS