CVE-2026-4063
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/03/2026
Última modificación:
16/03/2026
Descripción
El plugin Social Icons Widget & Block de WPZOOM para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidad en el método add_menu_item() enganchado a admin_menu en todas las versiones hasta la 4.5.8, inclusive. Esto se debe a que el método realiza llamadas a wp_insert_post() y update_post_meta() para crear una configuración de compartición sin verificar que el usuario actual tenga capacidades de nivel de administrador. Esto hace posible que atacantes autenticados, con acceso de nivel de Suscriptor y superior, activen la creación de una publicación de configuración de compartición wpzoom publicada con la configuración predeterminada de los botones de compartición, lo que provoca que los botones de compartición social se inyecten automáticamente en todo el contenido de las publicaciones en el frontend a través del filtro the_content.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/social-icons-widget-by-wpzoom/tags/4.5.8/includes/classes/class-wpzoom-social-sharing-buttons.php#L110
- https://plugins.trac.wordpress.org/browser/social-icons-widget-by-wpzoom/tags/4.5.8/includes/classes/class-wpzoom-social-sharing-buttons.php#L134
- https://plugins.trac.wordpress.org/browser/social-icons-widget-by-wpzoom/trunk/includes/classes/class-wpzoom-social-sharing-buttons.php#L110
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&new=3481444%40social-icons-widget-by-wpzoom/trunk&old=3462717%40social-icons-widget-by-wpzoom/trunk
- https://www.wordfence.com/threat-intel/vulnerabilities/id/6af64b51-1758-495f-b6d7-364488de9ab8?source=cve