CVE-2026-11781
Adminify < 4.2.10 - Contributor+ Sensitive Information Disclosure via Global Search AJAX
Vexday Risk Score
28Baixo
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
Maturidade do exploit
Prova de conceito
Existe prova de conceito pública, mas ainda não automatizada.
CVSS 2.7EPSS 0.2%KEV nãoPoC públicaNuclei —Metasploit —Patch —
Ciclo de vida
02 jul 2026Publicada no NVD
Recomendação: Planejar correção próxima — já existe PoC pública.
The Adminify WordPress plugin before 4.2.10 does not perform per-user read-capability checks on the results returned by one of its administration search features, allowing users with a low-privilege role (Contributor) to disclose non-public content that WordPress would not otherwise expose to them, such as other authors' unpublished post titles, pending comment content, the site's Adminify WordPress plugin before 4.2.10 inventory, and user account names.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N
Produtos afetados
Unknown · AdminifyPoCs públicas encontradas — 1
cve_referencewpscan.com/vulnerability/0aa18fe0-2d64-45dc-9eab-9587d63853be/não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.