無料スキャン

このページはまだあなたの言語に翻訳されていません。翻訳作業中のため、英語でコンテンツを表示しています。

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

HIGHCVE-2026-5371CVSS 7.1

CVE-2026-5371: Unauthorized Access in MonsterInsights WordPress Plugin

プラットフォーム

wordpress

コンポーネント

google-analytics-for-wordpress

修正版

10.1.3

NVDで見る
保存
あなたの言語に翻訳中…

CVE-2026-5371 is a vulnerability affecting the MonsterInsights WordPress plugin, a popular tool for Google Analytics integration. This flaw allows authenticated attackers, even those with Subscriber-level access, to retrieve live Google OAuth access tokens and manipulate the plugin's Google Ads integration. The vulnerability exists in versions up to 10.1.2 and has been resolved in version 10.1.3, released on May 12, 2026.

WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン

影響と攻撃シナリオ翻訳中…

The primary impact of CVE-2026-5371 is the unauthorized access and potential misuse of Google OAuth access tokens. An attacker who exploits this vulnerability could gain access to sensitive data associated with the website's Google Analytics and Google Ads accounts. This could include user data, campaign performance metrics, and potentially even billing information. The ability to reset the Google Ads integration further amplifies the impact, allowing an attacker to disrupt advertising campaigns and potentially redirect funds. While the vulnerability requires authentication, the low access level needed (Subscriber) significantly broadens the attack surface.

悪用の状況翻訳中…

The vulnerability was published on May 12, 2026. No public exploits or proof-of-concept code have been observed at the time of writing. The CVSS score of 7.1 (HIGH) indicates a significant risk, and the ease of exploitation (requiring only Subscriber-level access) suggests that it could become a target for opportunistic attackers. The vulnerability is not currently listed on KEV or EPSS, but its potential impact warrants close monitoring.

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出
レポート1 脅威レポート

EPSS

0.03% (8% パーセンタイル)

CISA SSVC

悪用状況none
自動化可能no
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N7.1HIGHAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredLow攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityLow不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
低 — 有効なユーザーアカウントがあれば十分。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
低 — 限定的な範囲でデータ変更可能。
Availability
なし — 可用性への影響なし。

弱点分類 (CWE)

CWE-862

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日

緩和策と回避策翻訳中…

The primary mitigation for CVE-2026-5371 is to immediately upgrade the MonsterInsights plugin to version 10.1.3 or later. If upgrading is not immediately feasible due to compatibility issues or breaking changes, consider temporarily restricting access to the getadsaccesstoken() and resetexperience() functions. While not a complete fix, this can limit the attacker's ability to exploit the vulnerability. Review WordPress user roles and permissions to ensure that only necessary users have access. Monitor WordPress logs for suspicious activity related to Google OAuth authentication. After upgrading, confirm the fix by attempting to access the Google Ads integration with a Subscriber-level user account and verifying that access is denied.

修正方法

バージョン10.1.3、またはそれ以降のパッチバージョンにアップデートしてください

よくある質問翻訳中…

What is CVE-2026-5371 — Unauthorized Access in MonsterInsights WordPress Plugin?

CVE-2026-5371 is a HIGH severity vulnerability in the MonsterInsights WordPress plugin that allows authenticated subscribers to retrieve Google OAuth tokens and reset Google Ads integration, potentially leading to data exposure and campaign disruption.

Am I affected by CVE-2026-5371 in MonsterInsights WordPress Plugin?

You are affected if you are using the MonsterInsights plugin in WordPress versions 10.1.2 or earlier. Check your plugin version and upgrade immediately if necessary.

How do I fix CVE-2026-5371 in MonsterInsights WordPress Plugin?

Upgrade the MonsterInsights plugin to version 10.1.3 or later. If immediate upgrade is not possible, temporarily restrict access to the vulnerable functions and review user permissions.

Is CVE-2026-5371 being actively exploited?

No public exploits have been observed at this time, but the vulnerability's ease of exploitation and potential impact suggest it could become a target. Continuous monitoring is recommended.

Where can I find the official MonsterInsights advisory for CVE-2026-5371?

Refer to the official MonsterInsights website and WordPress plugin repository for the latest security advisories and updates related to CVE-2026-5371.

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン
scanZone.liveBadgescanZone.eyebrow

WordPressプロジェクトを今すぐスキャン — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...