CVE-2026-9619
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 — wyżej niż 22% wszystkich znanych CVE
Streszczenie
Wtyczka Reviews and Rating – Docplanner dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 1.1.4 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika do wykonywania określonych działań.
Ocena ryzyka
Zagrożenie polega na tym, że uwierzytelnieni atakujący z dostępem na poziomie subskrybenta mogą wywołać zdalne skanowanie zewnętrznych stron internetowych oraz zapisywać zebrane dane recenzji w tabeli bazy danych wp_dp_reviews.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć lukę w autoryzacji oraz ograniczyć dostęp do funkcji wtyczki tylko dla uprawnionych użytkowników.
Oryginalny opis (angielski, źródło NVD)
The Reviews and Rating – Docplanner plugin for WordPress is vulnerable to authorization bypass in all versions up to, and including, 1.1.4. This is due to the plugin not properly verifying that a user is authorized to perform an action. This makes it possible for authenticated attackers, with subscriber-level access and above, to trigger outbound scraping of external websites and write scraped review data into the wp_dp_reviews database table, as well as send feature-request emails from the site administrator's email address.

