CVE-2026-9048
MediumCVSS 4.3Summary
Wtyczka Slider Revolution dla WordPressa jest podatna na ujawnienie wrażliwych informacji w wersjach 7.0.0 - 7.0.14, poprzez akcję AJAX 'slider.get.full'. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie Contributor i wyżej, wydobycie wrażliwych danych, w tym surowych poświadczeń API mediów społecznościowych.
Risk Assessment
Organizacje mogą być narażone na kradzież wrażliwych danych, co może prowadzić do nieautoryzowanego dostępu do kont mediów społecznościowych oraz innych zasobów. Ujawnienie takich informacji może skutkować poważnymi konsekwencjami dla bezpieczeństwa i reputacji firmy.
Recommendation
Zaleca się aktualizację wtyczki Slider Revolution do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt ustawień wtyczki w celu zabezpieczenia wrażliwych danych.
Original NVD description (English source)
The Slider Revolution plugin for WordPress is vulnerable to Sensitive Information Exposure in versions 7.0.0 - 7.0.14, via the 'slider.get.full' AJAX Action. This makes it possible for authenticated attackers, with Contributor-level access and above, to extract sensitive data including raw social media API credentials: the Instagram OAuth token, Flickr API key, YouTube Data API key, and Facebook App ID, stored in any configured slider's settings.

