CVE-2026-12134
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 32 — wyżej niż 32% wszystkich znanych CVE
Streszczenie
Wtyczka JoomSport dla WordPressa do wersji 5.7.8 zawiera podatność polegającą na pominięciu autoryzacji. Umożliwia ona uwierzytelnionym atakującym z dostępem na poziomie subskrybenta lub wyższym tworzenie dowolnych grup sezonów oraz modyfikację istniejących nazw grup, uczestników i opcji rund. Wykorzystanie podatności wymaga uzyskania nonce (joomsportajaxnonce), które jest ujawniane na stronach frontendowych renderujących shortcode JoomSport.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowane modyfikacje danych dotyczących grup sezonów i uczestników, co może prowadzić do zakłócenia działania lig, turniejów oraz naruszenia integralności informacji sportowych.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę JoomSport do najnowszej dostępnej wersji, która usuwa tę podatność. Dodatkowo warto ograniczyć dostęp do stron z shortcode JoomSport dla niezaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
The JoomSport – for Sports: Team & League, Football, Hockey & more plugin for WordPress is vulnerable to authorization bypass in all versions up to, and including, 5.7.8. This is due to the plugin not properly verifying that a user is authorized to perform an action. This makes it possible for authenticated attackers, with subscriber-level access and above, to create arbitrary season groups or modify existing group names, participants, and round-type options. Exploitation requires obtaining the joomsportajaxnonce, which is exposed on frontend pages that render a JoomSport shortcode.

