Katalog CVE

CVE-2026-1291

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.29%

Percentyl 20 — wyżej niż 20% wszystkich znanych CVE

Streszczenie

Wtyczka Meow Gallery dla WordPressa jest podatna na nieautoryzowaną modyfikację danych z powodu braku sprawdzenia uprawnień na końcówce REST API /wp-json/meow-gallery/v1/save_shortcode we wszystkich wersjach do 5.4.4 włącznie. Umożliwia to atakującym z poziomem dostępu Author i wyżej dowolne tworzenie lub nadpisywanie istniejących rekordów shortcode galerii.

Ocena ryzyka

Atakujący mogą wykorzystać tę podatność do nieautoryzowanej modyfikacji galerii, co może prowadzić do utraty integralności danych oraz potencjalnych problemów z reputacją organizacji.

Rekomendacja

Zaleca się aktualizację wtyczki Meow Gallery do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie dodatkowych kontroli uprawnień na końcówkach API.

Oryginalny opis (angielski, źródło NVD)

The Meow Gallery plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the REST API endpoint /wp-json/meow-gallery/v1/save_shortcode in all versions up to, and including, 5.4.4 This makes it possible for authenticated attackers, with Author-level access and above, to arbitrarily create or overwrite existing gallery shortcode records by supplying a user-controlled id value. The endpoint performs database update operations without verifying that the requesting user is authorized to modify the referenced gallery record or create their own.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS