CVE-2026-45442Brainstorm Force开发的Presto Player插件中存在一个缺失授权验证漏洞。该问题源于访问控制安全级别配置不正确,允许攻击者利用错误的配置绕过安全限制。受影响的版本包括4.1.3及之前的所有版本。由于漏洞利用无需用户交互且网络攻击复杂度低,拥有低权限账户的攻击者即可利用此漏洞。该漏洞主要影响机密性,可能导致敏感信息泄露,建议管理员尽快采取措施进行修复。
该漏洞的根本原因在于Presto Player插件在处理特定功能请求时,未正确实施身份验证和授权检查。在WordPress生态系统中,插件通常通过注册AJAX处理程序(admin-ajax.php)或REST API端点来响应前端操作。在此案例中,某个用于读取或修改数据的回调函数缺乏`current_user_can`等权限校验机制,或者被错误地允许了低权限用户(如订阅者)访问。攻击者通过网络向目标端点发送特制的HTTP请求(通常包含特定的action参数),即可在未通过完整权限验证的情况下执行本应受限的操作。由于CVSS向量显示机密性受影响(C:L),攻击者可能利用此漏洞读取私有播放器配置、受保护的媒体链接或其他用户敏感数据。