CVE-2026-9710
WysokieCVSS 7.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 — wyżej niż 12% wszystkich znanych CVE
Streszczenie
Wtyczka Cornerstone dla WordPressa przed wersją 7.8.8 nie wymusza kontroli uprawnień w jednym z handlerów żądań podglądu CSS, co pozwala każdemu zalogowanemu użytkownikowi na ocenę dynamicznych tokenów treści w odniesieniu do dowolnych użytkowników oraz ujawnienie ich wrażliwych metadanych, w tym surowych hashy haseł.
Ocena ryzyka
Organizacja narażona jest na ujawnienie wrażliwych informacji o użytkownikach, co może prowadzić do dalszych ataków i naruszeń bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację wtyczki Cornerstone do wersji 7.8.8 lub nowszej, aby zlikwidować tę podatność.
Oryginalny opis (angielski, źródło NVD)
The Cornerstone WordPress plugin before 7.8.8 does not enforce capability checks on one of its CSS-preview request handlers, and exposes the nonce needed to call it to every logged-in user on any wp-admin page, allowing any authenticated user to evaluate dynamic content tokens against arbitrary users and disclose their sensitive metadata including raw password hashes. This affects the premium co Cornerstone page builder distributed bundled with the X , not the unrelated free `cornerstone` Cornerstone WordPress plugin before 7.8.8 (v0.8.x) on the .org repository.

