CVE-2026-32498Metagauss公司的RegistrationMagic WordPress插件存在一个严重的缺失授权漏洞。该漏洞源于对访问控制安全级别的不正确配置,允许攻击者在无需身份验证的情况下绕过安全限制。受影响的版本涵盖从n/a到6.0.7.6的所有版本。攻击者无需用户交互即可通过网络利用此漏洞,成功利用可能导致敏感信息泄露,对系统机密性造成高风险影响。
该漏洞属于访问控制失效类漏洞。在Metagauss RegistrationMagic插件的特定功能模块中,由于开发人员未对关键的AJAX操作或API端点实施严格的权限检查(如`current_user_can`),导致未授权用户可以直接访问本应仅限管理员使用的功能。根据CVSS向量分析,攻击向量为网络(AV:N),攻击复杂度低(AC:L),且无需任何权限(PR:N)和用户交互(UI:N)。攻击者可构造特定的HTTP请求发送至目标服务器,利用此缺陷获取敏感数据或执行未授权的操作。由于影响范围(S:U)未改变,且主要危害在于信息泄露(C:H),攻击者可能通过此漏洞读取注册表单数据、用户提交信息或其他受保护的配置信息,从而为进一步的攻击提供情报支持。