CVE-2026-8944
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 — wyżej niż 1% wszystkich znanych CVE
Streszczenie
Wtyczka Plugin for Google Analytics by IO technologies dla WordPressa jest podatna na atak Cross-Site Request Forgery (CSRF) w wersjach do 1.1 włącznie. Brak walidacji tokena nonce na stronie ustawień Google Analytics (ga.php) umożliwia nieuwierzytelnionym atakującym zmianę identyfikatora śledzenia Google Analytics (io-ga-id) poprzez sfałszowane żądanie, pod warunkiem nakłonienia administratora do kliknięcia w link.
Ocena ryzyka
Ryzyko polega na możliwości podmiany identyfikatora śledzenia Google Analytics na fałszywy, co może prowadzić do kradzieży danych analitycznych lub przekierowania ruchu na złośliwe serwery, bez wiedzy administratora.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę Plugin for Google Analytics by IO technologies do najnowszej dostępnej wersji, która zawiera poprawną walidację nonce. Jeśli aktualizacja nie jest dostępna, należy rozważyć tymczasowe wyłączenie wtyczki.
Oryginalny opis (angielski, źródło NVD)
The Plugin for Google Analytics by IO technologies plugin for WordPress is vulnerable to Cross-Site Request Forgery in versions up to, and including, 1.1. This is due to missing or incorrect nonce validation on the Google Analytics settings page (ga.php). This makes it possible for unauthenticated attackers to update the plugin's stored Google Analytics tracking ID option (io-ga-id) via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.

