Plataforma
wordpress
Componente
google-analytics-dashboard-for-wp
Corregido en
9.0.3
La vulnerabilidad CVE-2026-1993 afecta al plugin ExactMetrics – Google Analytics Dashboard for WordPress en versiones desde la 7.1.0 hasta la 9.0.2. Esta falla de gestión de privilegios permite a atacantes autenticados escalar sus permisos dentro del plugin. La vulnerabilidad se debe a la falta de validación de los nombres de las opciones de configuración, lo que permite modificar cualquier parámetro, comprometiendo el control de acceso. La versión 9.0.3 corrige esta vulnerabilidad.
Un atacante autenticado con la capacidad exactmetricssavesettings puede explotar esta vulnerabilidad para modificar cualquier configuración del plugin ExactMetrics. Esto incluye, crucialmente, la opción save_settings, que controla qué roles de usuario tienen acceso a la funcionalidad del plugin. Al modificar esta opción, un atacante podría otorgar acceso administrativo a usuarios no autorizados, permitiéndoles manipular datos de Google Analytics, modificar la configuración del plugin, o incluso ejecutar código malicioso a través de otras vulnerabilidades presentes en el plugin. El impacto potencial es significativo, ya que compromete la integridad de los datos y la seguridad del sitio web WordPress.
Esta vulnerabilidad ha sido publicada públicamente el 2026-03-10. No se ha reportado su inclusión en el KEV de CISA al momento de la redacción. No se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad (escalada de privilegios) la hace susceptible a ser explotada. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
WordPress websites utilizing the ExactMetrics plugin, particularly those with multiple user roles and delegated administrative privileges, are at risk. Shared hosting environments where plugin settings are not tightly controlled are also more vulnerable. Websites relying on ExactMetrics for critical analytics data are especially susceptible to the impact of a successful exploit.
• wordpress / composer / npm:
grep -r 'exactmetrics_save_settings' /var/www/html/wp-content/plugins/exactmetrics/• wordpress / composer / npm:
wp plugin list --status=active | grep exactmetrics• wordpress / composer / npm:
wp plugin update exactmetrics --alldisclosure
Estado del Exploit
EPSS
0.05% (14% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin ExactMetrics a la versión 9.0.3 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede restringir el acceso a la función de configuración del plugin solo a usuarios con roles administrativos estrictamente necesarios. Monitorear los logs del plugin en busca de modificaciones sospechosas en las opciones de configuración también puede ayudar a detectar posibles ataques. Después de la actualización, verifique que los roles de usuario tengan los permisos correctos y que la opción save_settings esté configurada de forma segura.
Actualizar a la versión 9.0.3, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-1993 is a HIGH severity vulnerability in the ExactMetrics WordPress plugin allowing attackers to modify plugin settings and potentially gain unauthorized access.
You are affected if you are using ExactMetrics versions 7.1.0 through 9.0.2. Upgrade to 9.0.3 or later to mitigate the risk.
Upgrade the ExactMetrics plugin to version 9.0.3 or later. As a temporary workaround, restrict access to plugin settings to administrators only.
There is currently no indication of active exploitation, but the vulnerability's nature suggests it could be exploited once a proof-of-concept is available.
Refer to the official ExactMetrics website and WordPress plugin repository for the latest security advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.