CVE-2026-9810
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-269
Gestión de privilegios incorrecta
Fecha de publicación:
17/07/2026
Última modificación:
17/07/2026
Descripción
*** Pendiente de traducción *** The AI Copilot WordPress plugin before 1.5.4 does not bind OAuth access tokens to a WordPress user, and accepts any valid token as an administrator session, allowing unauthenticated attackers who complete the public OAuth flow to execute privileged MCP tools as an administrator, including arbitrary user creation and role escalation.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA



