CVE-2026-4066 WordPress — эксплойт и детали уязвимости MEDIUM

Параметр	Значение
CVSS	4,3 (MEDIUM)
Тип уязвимости	CWE-862 (Отсутствие авторизации)
Поставщик	WordPress
Публичный эксплойт	Нет

Плагин Smart Custom Fields для WordPress уязвим к несанкционированному доступу к данным из-за отсутствия проверки возможности функции Relationship_posts_search() во всех версиях до 5.0.6 включительно. Это позволяет аутентифицированным злоумышленникам с доступом на уровне участника и выше читать личный контент и черновики сообщений других авторов с помощью действия AJAX smart-cf-relational-posts-search. Функция запрашивает сообщения с post_status=any и возвращает полные объекты WP_Post, включая post_content, но проверяет только общую возможность edit_posts вместо того, чтобы проверять, имеет ли запрашивающий пользователь разрешение на чтение каждого отдельного сообщения.

Показать оригинальное описание (EN)

The Smart Custom Fields plugin for WordPress is vulnerable to unauthorized access of data due to a missing capability check on the relational_posts_search() function in all versions up to, and including, 5.0.6. This makes it possible for authenticated attackers, with Contributor-level access and above, to read private and draft post content from other authors via the smart-cf-relational-posts-search AJAX action. The function queries posts with post_status=any and returns full WP_Post objects including post_content, but only checks the generic edit_posts capability instead of verifying whether the requesting user has permission to read each individual post.