Katalog CVE

CVE-2026-12408

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 17 — wyżej niż 17% wszystkich znanych CVE

Streszczenie

Wtyczka Slim SEO dla WordPressa do wersji 4.9.8 włącznie zawiera podatność umożliwiającą nieautoryzowane ujawnienie prywatnych treści. Problem występuje w punkcie końcowym REST API `/wp-json/slim-seo/meta-tags/ai`, który nie sprawdza poprawnie uprawnień użytkownika do odczytu konkretnego posta, co pozwala uwierzytelnionym atakującym z dostępem na poziomie Współautora i wyższym na pobranie podsumowania treści dowolnych postów, w tym prywatnych, szkiców, oczekujących, przyszłych i chronionych hasłem.

Ocena ryzyka

Organizacja narażona jest na wyciek poufnych treści, takich jak nieopublikowane artykuły, projekty czy posty chronione hasłem, co może prowadzić do naruszenia poufności danych i utraty zaufania użytkowników.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę Slim SEO do najnowszej dostępnej wersji, która usuwa tę podatność. Do czasu aktualizacji zaleca się tymczasowe wyłączenie punktu końcowego REST API `/wp-json/slim-seo/meta-tags/ai` poprzez odpowiednie reguły zapory lub modyfikację pliku .htaccess.

Oryginalny opis (angielski, źródło NVD)

The Slim SEO – A Fast & Automated SEO Plugin For WordPress plugin for WordPress is vulnerable to Unauthorized Private Content Disclosure in all versions up to, and including, 4.9.8 via the `/wp-json/slim-seo/meta-tags/ai` REST API endpoint. This is due to the endpoint's `permission_callback` performing only a top-level `edit_posts` capability check without verifying that the requesting user has read access to the specific post supplied via the `object.ID` parameter, allowing the `generate` function to pass the attacker-controlled post ID to `Data::get_post_content()`, which calls `get_post()` regardless of post status or ownership. This makes it possible for authenticated attackers with Contributor-level access and above to retrieve AI-generated summaries of the raw `post_content` of arbitrary posts they are not authorized to view — including private posts, drafts, pending, future, and password-protected content authored by other users — with the substance of the protected content disclosed via the HTTP response.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS