Katalog CVE

CVE-2026-8690

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 17 - wyżej niż 17% wszystkich znanych CVE

Streszczenie

Wtyczka RentMy Real-Time Rental Management dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 4.0.4.1 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika do wykonywania akcji.

Ocena ryzyka

Atakujący bez uwierzytelnienia mogą odczytywać, tworzyć, aktualizować i usuwać rekordy wydarzeń, a także nadpisywać opcję rentmy_locationId, co może prowadzić do poważnych naruszeń danych.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć lukę w zabezpieczeniach oraz wdrożenie dodatkowych mechanizmów autoryzacji.

Oryginalny opis (angielski, źródło NVD)

The RentMy Real-Time Rental Management Plugin plugin for WordPress is vulnerable to authorization bypass in all versions up to, and including, 4.0.4.1. This is due to the plugin not properly verifying that a user is authorized to perform an action. This makes it possible for unauthenticated attackers to read, create, update, and delete event records stored in the rentmy_events WordPress option, as well as overwrite the rentmy_locationId option.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS