Plataforma
wordpress
Componente
google-analytics-dashboard-for-wp
Corrigido em
9.0.3
Uma vulnerabilidade de Escalada de Privilégios foi descoberta no plugin ExactMetrics – Google Analytics Dashboard for WordPress, afetando versões entre 7.1.0 e 9.0.2. A falha reside na função updatesettings(), que não valida adequadamente os nomes das configurações do plugin, permitindo que usuários autenticados com a capacidade exactmetricssave_settings modifiquem qualquer configuração. A correção foi lançada na versão 9.0.3.
Um atacante autenticado com a capacidade exactmetricssavesettings pode explorar esta vulnerabilidade para obter acesso não autorizado a funcionalidades do plugin. Ao modificar a configuração save_settings, o atacante pode efetivamente alterar quais papéis de usuário têm permissão para acessar e manipular dados do plugin, potencialmente comprometendo a integridade dos dados do Google Analytics e a segurança do site WordPress. A exploração bem-sucedida pode levar à modificação de configurações críticas, permitindo que o atacante assuma o controle de aspectos importantes do plugin e, possivelmente, do site WordPress subjacente.
Esta vulnerabilidade foi divulgada em 2026-03-10. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV da CISA. A ausência de um Proof of Concept (PoC) público sugere que a exploração ainda não é amplamente conhecida, mas a gravidade da vulnerabilidade (CVSS 8.8) justifica a atenção e a aplicação imediata da correção.
WordPress websites utilizing the ExactMetrics plugin, particularly those with multiple user roles and delegated administrative privileges, are at risk. Shared hosting environments where plugin settings are not tightly controlled are also more vulnerable. Websites relying on ExactMetrics for critical analytics data are especially susceptible to the impact of a successful exploit.
• wordpress / composer / npm:
grep -r 'exactmetrics_save_settings' /var/www/html/wp-content/plugins/exactmetrics/• wordpress / composer / npm:
wp plugin list --status=active | grep exactmetrics• wordpress / composer / npm:
wp plugin update exactmetrics --alldisclosure
Status do Exploit
EPSS
0.05% (percentil 14%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin ExactMetrics para a versão 9.0.3 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere restringir a capacidade exactmetricssavesettings apenas a usuários de confiança. Implementar uma revisão regular das permissões de usuário no plugin também pode ajudar a detectar e prevenir o uso indevido. Monitore os logs do WordPress em busca de atividades suspeitas relacionadas à modificação de configurações do plugin.
Atualize para a versão 9.0.3, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-1993 is a HIGH severity vulnerability in the ExactMetrics WordPress plugin allowing attackers to modify plugin settings and potentially gain unauthorized access.
You are affected if you are using ExactMetrics versions 7.1.0 through 9.0.2. Upgrade to 9.0.3 or later to mitigate the risk.
Upgrade the ExactMetrics plugin to version 9.0.3 or later. As a temporary workaround, restrict access to plugin settings to administrators only.
There is currently no indication of active exploitation, but the vulnerability's nature suggests it could be exploited once a proof-of-concept is available.
Refer to the official ExactMetrics website and WordPress plugin repository for the latest security advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.