Katalog CVE

CVE-2026-11900

ŚrednieCVSS 4.3
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Ad Inserter – Ad Manager & AdSense Ads dla WordPressa do wersji 2.8.16 włącznie zawiera podatność na niebezpieczne bezpośrednie odwołanie do obiektu (IDOR) przez atrybut 'data' shortcodu [adinserter]. Funkcja replace_ai_tags() przetwarza wzór {reusable-block-N} i wywołuje get_post_field('post_content', N) bez weryfikacji uprawnień użytkownika, bez ograniczenia typu posta do 'wp_block' i bez sprawdzania statusu posta. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie Współautora i wyższym odczytanie pełnej treści dowolnych postów, w tym prywatnych, szkiców, oczekujących, usuniętych i chronionych hasłem, należących do innych użytkowników, poprzez umieszczenie shortcodu we własnym poście i jego podgląd.

Ocena ryzyka

Organizacja narażona jest na wyciek poufnych treści, takich jak prywatne strony, szkice projektów czy posty chronione hasłem, co może prowadzić do ujawnienia wrażliwych informacji biznesowych lub naruszenia prywatności użytkowników.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę Ad Inserter do najnowszej dostępnej wersji, która usuwa tę podatność. Do czasu aktualizacji zaleca się tymczasowe wyłączenie wtyczki lub ograniczenie dostępu do shortcodu [adinserter] tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

The Ad Inserter – Ad Manager & AdSense Ads plugin for WordPress is vulnerable to Insecure Direct Object Reference in versions up to and including 2.8.16 via the 'data' attribute of the [adinserter] shortcode. This is due to the replace_ai_tags() function processing a {reusable-block-N} tag pattern that calls get_post_field('post_content', N) without verifying the requesting user's capability with current_user_can('read_post'), without restricting the post type to 'wp_block', and without checking the post status. This makes it possible for authenticated attackers, with Contributor-level access and above, to read the full content of arbitrary posts including Private, Draft, Pending, Trashed, and password-protected posts owned by other users, by placing the shortcode in a post they own and previewing it.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS