The Hostinger Reach – AI-Powered Email Marketing for WordPress plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the 'handle_ajax_action' function in all versions up to, and including, 1.3.8. This makes it possible for authenticated attackers, with Subscriber-level access and above, to use the 'hostinger_reach_connection_notice_action' action to update the API key value stored in the database. This vulnerability can only be exploited when the plugin is not connected to a site and no API key value exists in the database.
The Hostinger Reach WordPress plugin contains a missing capability check vulnerability allowing authenticated subscribers to modify API key values in the database. This affects versions up to 1.3.8 and only occurs when the plugin is not connected and no API key exists.
تحتوي إضافة Hostinger Reach للـ WordPress على ثغرة في التحقق من الصلاحيات تسمح للمستخدمين المصرح لهم على مستوى المشترك بتعديل قيم مفتاح API المخزنة في قاعدة البيانات. تؤثر هذه الثغرة على جميع الإصدارات حتى 1.3.8 وتحدث فقط عندما لا تكون الإضافة متصلة وعندما لا توجد قيمة مفتاح API في قاعدة البيانات.
The Hostinger Reach WordPress plugin contains a missing capability check vulnerability allowing authenticated subscribers to modify API key values in the database. This affects versions up to 1.3.8 and only occurs when the plugin is not connected and no API key exists.
Update the Hostinger Reach plugin to version 1.3.9 or later immediately. Implement proper capability checks on the handle_ajax_action function. Restrict subscriber-level access to sensitive API operations. Monitor database logs for unauthorized API key modifications.
قم بتحديث إضافة Hostinger Reach إلى الإصدار 1.3.9 أو أحدث فوراً. تطبيق فحوصات الصلاحيات المناسبة على وظيفة handle_ajax_action. تقييد وصول المستخدمين على مستوى المشترك للعمليات الحساسة المتعلقة بـ API. مراقبة سجلات قاعدة البيانات للتعديلات غير المصرح بها على مفتاح API.