CVE-2026-2941

🟡 Monitoruj

Brak weryfikacji uprawnień w wtyczce Linksy Search and Replace umożliwia atakującym zmianę ról użytkowników, co prowadzi do eskalacji uprawnień.

CVSS

8.8

EPSS

0.1%

Exploit

none

Vendor

Opis źródłowy (NVD)

The Linksy Search and Replace plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the 'linksy_search_and_replace_item_details' function in all versions up to, and including, 1.0.4. This makes it possible for authenticated attackers, with subscriber-level access and above, to update any database table, any value, including the wp_capabilities database field, which allows attackers to change their own role to administrator, which leads to privilege escalation.

privilege-escalation Brak patcha

Źródła i daty

Źródło	Wartość
NVD – CVSS	8.8
CISA KEV (aktywnie wykorzystywane)	Nie
FIRST EPSS (prawdopodobieństwo exploita)	0.1%
Opublikowano (NVD)	2026-03-21 04:17:13 UTC
Ostatnia modyfikacja (NVD)	2026-04-24 16:27:44 UTC

Referencje

https://plugins.trac.wordpress.org/browser/linksy-search-and-replace/tags/1.0.4/inc/Admin/Partials/SearchAndReplace/AjaxActions.php#L197 (security@wordfence.com)
https://www.wordfence.com/threat-intel/vulnerabilities/id/0bf117e2-9e59-4028-b77f-7fce2e7174f3?source=cve (security@wordfence.com)