Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-4003 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-04-08 |
| Producent | for |
| Produkt | WordPress is vulnerable to Eskalacja uprawnień |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
The Users manager – PN plugin for WordPress is vulnerable to Privilege Escalation via Arbitrary User Meta Update in all versions up to and including 1.1.15. This is due to a flawed authorization logic check in the userspn_ajax_nopriv_server() function within the ‘userspn_form_save’ case. The conditional only blocks unauthenticated users when the user_id is empty, but when a non-empty user_id is supplied, execution bypasses this check entirely and proceeds to update arbitrary user meta via update…
Wymagane działania
Apply vendor patches or mitigations as soon as available.
Kogo dotyczy?
Podatność dotyczy produktu WordPress is vulnerable to Eskalacja uprawnień firmy for. Sprawdź czy Twoja organizacja używa tego oprogramowania i czy wymaga aktualizacji.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
