Katalog CVE

CVE-2026-9676

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.11%

Percentyl 1 — wyżej niż 1% wszystkich znanych CVE

Streszczenie

Wtyczka F4 Post Tree dla WordPressa przed wersją 2.0.5 nie sprawdza uprawnień ani nie weryfikuje tokena CSRF/nonce w jednej z akcji AJAX, co pozwala uwierzytelnionym użytkownikom z dostępem na poziomie Subskrybenta i wyższym na modyfikowanie rodzica oraz kolejności menu dowolnych wpisów.

Ocena ryzyka

Ryzyko polega na tym, że atakujący z niskimi uprawnieniami może zmienić strukturę i kolejność dowolnych wpisów, co może prowadzić do dezorganizacji treści, manipulacji nawigacją lub ukrycia ważnych informacji.

Rekomendacja

Zaleca się natychmiastową aktualizację wtyczki F4 Post Tree do wersji 2.0.5 lub nowszej, która zawiera niezbędne zabezpieczenia.

Oryginalny opis (angielski, źródło NVD)

The F4 Post Tree WordPress plugin before 2.0.5 does not perform capability checks or CSRF/nonce verification on one of its AJAX actions, allowing authenticated users with Subscriber-level access and above to modify the parent and menu order of arbitrary posts.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS