Katalog CVE

CVE-2026-8157

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 14 - wyżej niż 14% wszystkich znanych CVE

Streszczenie

Wtyczka Vitepos dla WordPressa w wersjach przed 3.4.2 nie ogranicza poprawnie ról, które mogą być przypisywane podczas tworzenia nowych użytkowników za pomocą jednego z punktów końcowych REST API. Umożliwia to uwierzytelnionym użytkownikom z niestandardową rolą wtyczki Vitepos podniesienie uprawnień do administratora.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowany dostęp do konta administratora, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Rekomendacja

Zaleca się aktualizację wtyczki Vitepos do wersji 3.4.2 lub nowszej, aby zlikwidować tę lukę w zabezpieczeniach.

Oryginalny opis (angielski, źródło NVD)

The Vitepos WordPress plugin before 3.4.2 does not properly restrict the roles that can be assigned when creating new users via one of its REST API endpoints, allowing authenticated users with a custom Vitepos WordPress plugin before 3.4.2 role to escalate privileges to administrator.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS