CVE-2026-10034
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 30 — wyżej niż 30% wszystkich znanych CVE
Streszczenie
Wtyczka WP DSGVO Tools (GDPR) dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 3.1.39 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika, co pozwala nieautoryzowanym atakującym na przetwarzanie żądań SAR z wykorzystaniem dowolnego adresu e-mail ofiary.
Ocena ryzyka
Atakujący mogą uzyskać dostęp do osobistych danych ofiary, w tym szczegółów konta WordPress, nazw autorów komentarzy, adresów e-mail, adresów IP oraz treści komentarzy, bez jakiejkolwiek weryfikacji własności. To stwarza poważne ryzyko naruszenia prywatności użytkowników.
Rekomendacja
Zaleca się aktualizację wtyczki WP DSGVO Tools do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa, aby zidentyfikować i zabezpieczyć inne potencjalne luki.
Oryginalny opis (angielski, źródło NVD)
The WP DSGVO Tools (GDPR) plugin for WordPress is vulnerable to authorization bypass in all versions up to, and including, 3.1.39. This is due to the plugin not properly verifying that a user is authorized to perform an action. This makes it possible for unauthenticated attackers to supply an arbitrary victim email address and trigger immediate SAR processing via the process_now and is_ajax parameters, receiving tokenized download links (zip_link, pdf_link) in the HTTP response that expose the victim's personal data — including WordPress account details, comment author names, email addresses, IP addresses, and comment content — without any proof of ownership. The nonce used for the CSRF check is publicly rendered by the SAR shortcode form and is shared across all anonymous visitors, meaning any unauthenticated attacker can trivially obtain a valid nonce and bypass this gate entirely.

