CVE-2026-8690
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 - wyżej niż 17% wszystkich znanych CVE
Streszczenie
Wtyczka RentMy Real-Time Rental Management dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 4.0.4.1 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika do wykonywania akcji.
Ocena ryzyka
Atakujący bez uwierzytelnienia mogą odczytywać, tworzyć, aktualizować i usuwać rekordy wydarzeń, a także nadpisywać opcję rentmy_locationId, co może prowadzić do poważnych naruszeń danych.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć lukę w zabezpieczeniach oraz wdrożenie dodatkowych mechanizmów autoryzacji.
Oryginalny opis (angielski, źródło NVD)
The RentMy Real-Time Rental Management Plugin plugin for WordPress is vulnerable to authorization bypass in all versions up to, and including, 4.0.4.1. This is due to the plugin not properly verifying that a user is authorized to perform an action. This makes it possible for unauthenticated attackers to read, create, update, and delete event records stored in the rentmy_events WordPress option, as well as overwrite the rentmy_locationId option.

