मुफ्त स्कैन करें
HIGHCVE-2026-5144CVSS 8.8

BuddyPress Groupblog <= 1.9.3 - प्रमाणित (सदस्य+) व्यवस्थापक तक विशेषाधिकार वृद्धि समूह ब्लॉग आईडीओआर के माध्यम से

प्लेटफ़ॉर्म

wordpress

घटक

bp-groupblog

में ठीक किया गया

1.9.4

AI Confidence: highNVDEPSS 0.1%समीक्षित: मई 2026
NVD पर देखें
सहेजें
आपकी भाषा में अनुवाद हो रहा है…

CVE-2026-5144 describes a Privilege Escalation vulnerability discovered in the BuddyPress Groupblog plugin for WordPress. This flaw allows unauthorized group admins, even those with Subscriber roles, to manipulate group blog settings and associate their groups with any blog within a WordPress Multisite network. The vulnerability impacts versions 0.0.0 through 1.9.3, and a patch is available in version 1.9.4.

WordPress

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें

प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…

The core of the vulnerability lies in the improper validation of user-supplied input within the group blog settings handler. Specifically, the groupblog-blogid and default-member parameters are accepted without adequate authorization checks. An attacker, even a Subscriber with group creation privileges, can leverage the groupblog-blogid parameter to associate their group with the main WordPress site (blog ID 1) or any other blog on the network. This grants them elevated privileges and potentially access to sensitive data and administrative functions on those blogs. The default-member parameter allows assignment of arbitrary WordPress roles, further expanding the attacker’s potential control. This vulnerability shares similarities with other WordPress privilege escalation flaws where improper input validation leads to unauthorized access.

शोषण संदर्भअनुवाद हो रहा है…

CVE-2026-5144 was published on 2026-04-11. Its severity is rated HIGH with a CVSS score of 8.8. There is currently no indication of this vulnerability being actively exploited in the wild, nor is it listed on KEV or EPSS. Public proof-of-concept (POC) code has not been widely disseminated, but the ease of exploitation makes it a potential target for opportunistic attackers.

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट4 खतरा रिपोर्ट

EPSS

0.05% (17% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयno
तकनीकी प्रभावtotal

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8.8HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredLowहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकbp-groupblog
विक्रेताwordfence
प्रभावित श्रेणीमें ठीक किया गया
0.0.0 – 1.9.31.9.4

पैकेज जानकारी

सक्रिय इंस्टॉलेशन
50आला
प्लगइन रेटिंग
3.3
WordPress आवश्यक
3.6+
संगत संस्करण तक
7.0
होमपेज

कमजोरी वर्गीकरण (CWE)

CWE-269

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंडअनुवाद हो रहा है…

The primary mitigation for CVE-2026-5144 is to immediately upgrade the BuddyPress Groupblog plugin to version 1.9.4 or later. If upgrading is not feasible due to compatibility issues or breaking changes, consider temporarily disabling the Groupblog plugin functionality. While not a complete solution, implementing a Web Application Firewall (WAF) with rules to filter or sanitize the groupblog-blogid and default-member parameters can provide an additional layer of defense. Monitor WordPress logs for suspicious activity related to group creation or blog association attempts. Regularly review user roles and permissions within the WordPress Multisite environment to identify and rectify any anomalous configurations.

कैसे ठीक करें

संस्करण 1.9.4 में अपडेट करें, या एक नया पैच किया गया संस्करण

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…

What is CVE-2026-5144 — Privilege Escalation in BuddyPress Groupblog?

CVE-2026-5144 is a HIGH severity vulnerability affecting the BuddyPress Groupblog plugin for WordPress. It allows unauthorized group admins to escalate privileges and associate groups with any blog on a WordPress Multisite network, potentially leading to unauthorized access.

Am I affected by CVE-2026-5144 in BuddyPress Groupblog?

You are affected if you are using BuddyPress Groupblog versions 0.0.0 through 1.9.3 on a WordPress Multisite installation. Check your plugin version immediately.

How do I fix CVE-2026-5144 in BuddyPress Groupblog?

Upgrade the BuddyPress Groupblog plugin to version 1.9.4 or later to resolve this vulnerability. If upgrading is not immediately possible, consider temporarily disabling the plugin functionality.

Is CVE-2026-5144 being actively exploited?

There is currently no public evidence of CVE-2026-5144 being actively exploited, but the ease of exploitation makes it a potential target.

Where can I find the official BuddyPress advisory for CVE-2026-5144?

Refer to the official BuddyPress plugin website and WordPress.org plugin repository for the latest updates and security advisories related to CVE-2026-5144.

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें