CVE-2026-8679— WordPress plugin AudioIgniter 安全漏洞
Public Exploits 1
Nuclei · 1 CVE-2026-8679.yaml [template]
Possible ATT&CK Techniques 1AI
T1135 · Network Share DiscoveryAffected Version Matrix 1
| ベンダー | プロダクト | Version Range | ステータス |
|---|---|---|---|
| cssigniterteam | AudioIgniter Music Player | ≤ 2.0.2 | affected |
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-8679の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
AudioIgniter Music Player <= 2.0.2 - Unauthenticated Insecure Direct Object Reference to 'audioigniter_playlist_id' Parameter
ソース: NVD (National Vulnerability Database)
脆弱性説明
The AudioIgniter plugin for WordPress is vulnerable to Insecure Direct Object Reference in versions up to, and including, 2.0.2. This is due to the handle_playlist_endpoint() function (hooked to template_redirect) accepting a user-controlled playlist ID via the audioigniter_playlist_id query var or the /audioigniter/playlist/{id}/ rewrite rule and returning playlist track data without performing any authentication, capability, or post_status check — only the post_type is validated. This makes it possible for unauthenticated attackers to view track metadata (titles, artists, audio URLs, buy links, download URLs, and cover images) of any playlist on the site, including those in draft, private, pending, or trash status.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
通过用户控制密钥绕过授权机制
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
WordPress plugin AudioIgniter 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。 WordPress plugin AudioIgniter 2.0.2及之前版本存在安全漏洞,该漏洞源于handle_playlist_endpoint函数接受用户控制的播放列表ID并返回播放列表曲目数据而未执行任何身份验证、能力或帖子状态检查,可能
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| cssigniterteam | AudioIgniter Music Player | 0 ~ 2.0.2 | - |
II. CVE-2026-8679の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|---|---|---|
| 1 | The AudioIgniter plugin for WordPress is vulnerable to Insecure Direct Object Reference in versions up to, and including, 2.0.2. The handle_playlist_endpoint() function accepted a user-controlled playlist ID and returned track data without authentication. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2026/CVE-2026-8679.yaml | POC詳細 |
AI生成POCプレミアム
Qwen3.6-35B-A3B · 16097 文字数
有料版に含まれるもの:
脆弱性の原理を深く分析
トリガー条件と影響範囲
完全な実行可能POCコード
攻撃チェーンと緩和策の提案
POCパッケージのダウンロード
月間100件以上のAI生成枠
III. CVE-2026-8679のインテリジェンス情報
请登录查看更多情报信息。
CVE-2026-8679 补丁与修复 (1)
CVE-2026-8679 厂商安全公告 (1)
IV. 関連脆弱性
同じ弱点: CWE-639
- CVE-2026-9228
Timetable and Event Schedule by MotoPress <= 2.4.16 - Insecu - CVE-2026-9241
FOX – Currency Switcher Professional for WooCommerce <= 1.4. - CVE-2026-46544
Microsoft UFO reuses client-supplied WebSocket session IDs a - CVE-2026-4868
Authorization Bypass Through User-Controlled Key in GitLab - CVE-2026-9712
Insecure direct object reference
V. CVE-2026-8679へのコメント
まだコメントはありません