CVE-2026-9183
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 - wyżej niż 11% wszystkich znanych CVE
Streszczenie
Wtyczka 24liveblog dla WordPressa do wersji 2.2 włącznie ujawnia wrażliwe dane uwierzytelniające konta 24liveblog (token API, token odświeżania, identyfikator użytkownika i nazwę użytkownika) każdemu uwierzytelnionemu użytkownikowi z dostępem na poziomie współautora lub wyższym. Dzieje się tak, ponieważ funkcja lb24_block_enqueue_scripts() emituje te dane przez wp_localize_script() jako obiekt JavaScript lb24BlockData podczas ładowania edytora bloków.
Ocena ryzyka
Atakujący z niskimi uprawnieniami (współautor) może przejąć kontrolę nad kontem 24liveblog ofiary, uzyskując dostęp do API i potencjalnie modyfikując lub kradnąc treści transmisji na żywo, co narusza poufność i integralność danych.
Rekomendacja
Niezwłocznie zaktualizuj wtyczkę 24liveblog do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest dostępna, tymczasowo ogranicz dostęp do edytora bloków tylko dla administratorów lub wyłącz wtyczkę.
Oryginalny opis (angielski, źródło NVD)
The 24liveblog - live blog tool plugin for WordPress is vulnerable to Exposure of Sensitive Information in versions up to, and including, 2.2. This is due to the lb24_block_enqueue_scripts() function being hooked to enqueue_block_editor_assets and, for any non-administrator user, falling back to loading the administrator-configured site-wide 24liveblog integration secrets (lb24_token, lb24_refresh_token, lb24_uid, lb24_uname) from the options table via get_option() and emitting them through wp_localize_script() as the lb24BlockData JavaScript object. This makes it possible for authenticated attackers, with contributor-level access and above, to extract third-party 24liveblog account credentials (including the API token and refresh token) by simply opening the block editor and inspecting the page source.

