CVE-2026-39569AA Web Servant 12 Step Meeting List插件被披露存在一处缺失授权漏洞(CVE-2026-39569),该漏洞影响了从早期版本至3.19.9的所有版本。由于系统中错误配置了访问控制安全级别,导致特定功能未进行严格的权限验证。攻击者利用此漏洞,可以在仅需低权限用户身份的情况下,通过网络访问未经授权获取敏感信息,对系统机密性构成严重威胁。建议用户尽快检查并修复。
该漏洞的核心在于插件未能正确实施基于角色的访问控制(RBAC)。根据CVSS 3.1向量分析,攻击向量为网络(AV:N),攻击复杂度低(AC:L),且不需要用户交互(UI:N)。这意味着攻击者仅需拥有低权限账户(PR:L),即可向WordPress的admin-ajax.php或其他特定端点发送恶意请求。由于缺乏授权检查,服务器会错误地处理这些请求并返回本应仅对管理员可见的高敏感数据。尽管该漏洞不影响系统的完整性和可用性,但机密性影响极高,可能导致用户数据或会议列表信息的大规模泄露。