Diese Seite wurde noch nicht in Ihre Sprache übersetzt. Inhalte werden auf Englisch angezeigt, während wir daran arbeiten.
💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.
CVE-2026-5371: Unauthorized Access in MonsterInsights WordPress Plugin
Plattform
wordpress
Komponente
google-analytics-for-wordpress
Behoben in
10.1.3
CVE-2026-5371 is a vulnerability affecting the MonsterInsights WordPress plugin, a popular tool for Google Analytics integration. This flaw allows authenticated attackers, even those with Subscriber-level access, to retrieve live Google OAuth access tokens and manipulate the plugin's Google Ads integration. The vulnerability exists in versions up to 10.1.2 and has been resolved in version 10.1.3, released on May 12, 2026.
Erkenne diese CVE in deinem Projekt
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Auswirkungen und Angriffsszenarienwird übersetzt…
The primary impact of CVE-2026-5371 is the unauthorized access and potential misuse of Google OAuth access tokens. An attacker who exploits this vulnerability could gain access to sensitive data associated with the website's Google Analytics and Google Ads accounts. This could include user data, campaign performance metrics, and potentially even billing information. The ability to reset the Google Ads integration further amplifies the impact, allowing an attacker to disrupt advertising campaigns and potentially redirect funds. While the vulnerability requires authentication, the low access level needed (Subscriber) significantly broadens the attack surface.
Ausnutzungskontextwird übersetzt…
The vulnerability was published on May 12, 2026. No public exploits or proof-of-concept code have been observed at the time of writing. The CVSS score of 7.1 (HIGH) indicates a significant risk, and the ease of exploitation (requiring only Subscriber-level access) suggests that it could become a target for opportunistic attackers. The vulnerability is not currently listed on KEV or EPSS, but its potential impact warrants close monitoring.
Bedrohungsanalyse
Exploit-Status
EPSS
0.03% (8% Perzentil)
CISA SSVC
CVSS-Vektor
Was bedeuten diese Metriken?
- Attack Vector
- Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
- Attack Complexity
- Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
- Privileges Required
- Niedrig — jedes gültige Benutzerkonto ist ausreichend.
- User Interaction
- Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
- Scope
- Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
- Confidentiality
- Hoch — vollständiger Vertraulichkeitsverlust. Angreifer kann alle Daten lesen.
- Integrity
- Niedrig — Angreifer kann einige Daten mit begrenztem Umfang ändern.
- Availability
- Keine — kein Verfügbarkeitseinfluss.
Schwachstellen-Klassifikation (CWE)
Zeitleiste
- Reserviert
- Veröffentlicht
- Geändert
- EPSS aktualisiert
Mitigation und Workaroundswird übersetzt…
The primary mitigation for CVE-2026-5371 is to immediately upgrade the MonsterInsights plugin to version 10.1.3 or later. If upgrading is not immediately feasible due to compatibility issues or breaking changes, consider temporarily restricting access to the getadsaccesstoken() and resetexperience() functions. While not a complete fix, this can limit the attacker's ability to exploit the vulnerability. Review WordPress user roles and permissions to ensure that only necessary users have access. Monitor WordPress logs for suspicious activity related to Google OAuth authentication. After upgrading, confirm the fix by attempting to access the Google Ads integration with a Subscriber-level user account and verifying that access is denied.
So beheben
Aktualisieren Sie auf Version 10.1.3 oder eine neuere gepatchte Version
Häufig gestellte Fragenwird übersetzt…
What is CVE-2026-5371 — Unauthorized Access in MonsterInsights WordPress Plugin?
CVE-2026-5371 is a HIGH severity vulnerability in the MonsterInsights WordPress plugin that allows authenticated subscribers to retrieve Google OAuth tokens and reset Google Ads integration, potentially leading to data exposure and campaign disruption.
Am I affected by CVE-2026-5371 in MonsterInsights WordPress Plugin?
You are affected if you are using the MonsterInsights plugin in WordPress versions 10.1.2 or earlier. Check your plugin version and upgrade immediately if necessary.
How do I fix CVE-2026-5371 in MonsterInsights WordPress Plugin?
Upgrade the MonsterInsights plugin to version 10.1.3 or later. If immediate upgrade is not possible, temporarily restrict access to the vulnerable functions and review user permissions.
Is CVE-2026-5371 being actively exploited?
No public exploits have been observed at this time, but the vulnerability's ease of exploitation and potential impact suggest it could become a target. Continuous monitoring is recommended.
Where can I find the official MonsterInsights advisory for CVE-2026-5371?
Refer to the official MonsterInsights website and WordPress plugin repository for the latest security advisories and updates related to CVE-2026-5371.
Ist dein Projekt betroffen?
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Erkenne diese CVE in deinem Projekt
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Scannen Sie jetzt Ihr WordPress-Projekt – kein Konto
Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.
Abhängigkeitsdatei hier ablegen
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...