Platform
wordpress
Component
google-analytics-dashboard-for-wp
Opgelost in
9.0.3
CVE-2026-1993 beschrijft een Improper Privilege Management kwetsbaarheid in de ExactMetrics – Google Analytics Dashboard for WordPress plugin. Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om ongeautoriseerde wijzigingen aan te brengen in de plugininstellingen, wat kan leiden tot escalatie van privileges. De kwetsbaarheid treft versies van de plugin tussen 7.1.0 en 9.0.2, en is verholpen in versie 9.0.3.
Een succesvolle exploitatie van CVE-2026-1993 kan aanzienlijke gevolgen hebben voor WordPress-websites die de ExactMetrics plugin gebruiken. Een geauthenticeerde aanvaller met de exactmetricssavesettings capability kan via deze kwetsbaarheid de save_settings optie manipuleren, waardoor de toegangsrechten voor gebruikersrollen binnen de plugin gewijzigd kunnen worden. Dit kan resulteren in ongeautoriseerde toegang tot gevoelige data, configuratie van de plugin, en zelfs volledige controle over de website. De impact is vergelijkbaar met het verkrijgen van administrator privileges zonder de juiste authenticatie.
De kwetsbaarheid is openbaar gemaakt op 2026-03-10. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes. Er zijn geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat duidt op een potentieel risico, maar de exacte EPSS score is nog niet bekend.
WordPress websites utilizing the ExactMetrics plugin, particularly those with multiple user roles and delegated administrative privileges, are at risk. Shared hosting environments where plugin settings are not tightly controlled are also more vulnerable. Websites relying on ExactMetrics for critical analytics data are especially susceptible to the impact of a successful exploit.
• wordpress / composer / npm:
grep -r 'exactmetrics_save_settings' /var/www/html/wp-content/plugins/exactmetrics/• wordpress / composer / npm:
wp plugin list --status=active | grep exactmetrics• wordpress / composer / npm:
wp plugin update exactmetrics --alldisclosure
Exploit Status
EPSS
0.05% (14% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-1993 is het updaten van de ExactMetrics plugin naar versie 9.0.3 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de exactmetricssavesettings capability aan een minimale set van gebruikers. Controleer de plugininstellingen regelmatig op onverwachte wijzigingen. Implementeer een Web Application Firewall (WAF) met regels die pogingen tot het manipuleren van plugininstellingen detecteren en blokkeren. Na de upgrade, bevestig de correcte werking van de plugin en de toegangsrechten door de configuratie te controleren en te testen.
Update naar versie 9.0.3, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-1993 is a HIGH severity vulnerability in the ExactMetrics WordPress plugin allowing attackers to modify plugin settings and potentially gain unauthorized access.
You are affected if you are using ExactMetrics versions 7.1.0 through 9.0.2. Upgrade to 9.0.3 or later to mitigate the risk.
Upgrade the ExactMetrics plugin to version 9.0.3 or later. As a temporary workaround, restrict access to plugin settings to administrators only.
There is currently no indication of active exploitation, but the vulnerability's nature suggests it could be exploited once a proof-of-concept is available.
Refer to the official ExactMetrics website and WordPress plugin repository for the latest security advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.