CVE-2026-5488

Nome do Software Vulnerável e Versões Afetadas ExactMetrics – Google Analytics Dashboard for WordPress versões anteriores a 9.1.3

Descrição A falta de autorização no plugin permite que atacantes autenticados com nível de acesso de assinante ou superior recuperem tokens de acesso válidos do Google Ads e redefinam as configurações de integração do Google Ads. Isso ocorre porque os manipuladores AJAX get ads access token() e reset experience() verificam apenas o nonce e não realizam as verificações de capacidade necessárias, ao contrário de outros endpoints na mesma classe que exigem a capacidade exactmetrics save settings.

Recomendações Atualize o plugin para uma versão posterior a 9.1.2. Como medida paliativa temporária, restrinja o acesso aos manipuladores AJAX get ads access token() e reset experience().