Katalog CVE

CVE-2026-11775

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.13%

Percentyl 3 — wyżej niż 3% wszystkich znanych CVE

Streszczenie

Wtyczka User Admin Simplifier dla WordPressa jest podatna na atak typu Cross-Site Request Forgery (CSRF) w wersjach do 3.0.0 włącznie. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji useradminsimplifier_options_page, co pozwala nieautoryzowanym atakującym na resetowanie i trwałe usuwanie konfiguracji menu oraz paska administracyjnego użytkowników.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do manipulacji ustawieniami użytkowników, co może prowadzić do utraty danych i naruszenia integralności systemu. W szczególności, jeśli administrator zostanie oszukany do wykonania określonej akcji, może to skutkować poważnymi konsekwencjami dla bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację wtyczki User Admin Simplifier do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć dodatkowe mechanizmy zabezpieczeń, takie jak weryfikacja nonce w odpowiednich funkcjach.

Oryginalny opis (angielski, źródło NVD)

The User Admin Simplifier plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 3.0.0. This is due to missing or incorrect nonce validation on the useradminsimplifier_options_page function. This makes it possible for unauthenticated attackers to reset and permanently delete any user's stored menu and admin-bar configuration via a forged request that triggers uas_save_admin_options() and overwrites the useradminsimplifier_options database entry via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS