Katalog CVE

CVE-2026-9172

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 13 - wyżej niż 13% wszystkich znanych CVE

Streszczenie

Wtyczka Devs Accounting dla WordPressa do wersji 1.2.0 zawiera lukę umożliwiającą nieautoryzowane usuwanie danych. Brak kontroli uprawnień w funkcji delete_single_account() oraz brak parametru permission_callback w rejestracji trasy REST powodują, że nieuwierzytelniony atakujący może usunąć dowolne rekordy kont księgowych za pomocą prostego żądania GET.

Ocena ryzyka

Ryzyko polega na możliwości usunięcia przez nieuwierzytelnionego atakującego dowolnych rekordów kont księgowych, co może prowadzić do utraty danych finansowych i naruszenia integralności systemu księgowego organizacji.

Rekomendacja

Należy natychmiast zaktualizować wtyczkę Devs Accounting do najnowszej dostępnej wersji, która zawiera poprawkę usuwającą lukę. Jeśli aktualizacja nie jest dostępna, należy tymczasowo wyłączyć wtyczkę lub zablokować dostęp do trasy REST 'devs-accounting/v1/delete-account/(?P<id>\d+)' za pomocą reguł zapory aplikacyjnej (WAF).

Oryginalny opis (angielski, źródło NVD)

The Devs Accounting – Simple Accounting and Invoicing Solution plugin for WordPress is vulnerable to unauthorized modification/deletion of data due to a missing capability check on the delete_single_account() function in versions up to, and including, 1.2.0. The REST route 'devs-accounting/v1/delete-account/(?P<id>\d+)' is registered without any permission_callback, which causes WordPress to expose the endpoint to public, unauthenticated access. This makes it possible for unauthenticated attackers to soft-delete arbitrary accounting account records (wp_dac_accounts) by issuing a simple GET request to the endpoint with any account ID.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS