Vulnerabilities ›

CVE-2026-4683

Medium

CWE-862 — Weakness Type

                    Published: May 15, 2026                      ·  Modified: May 18, 2026                      ·  Source: NVD                

CVSS v3

6.5

🔗 NVD Official

📄 Description (English)

The Smartcat Translator for WPML plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the 'routeData' REST endpoint in all versions up to, and including, 3.1.77. This makes it possible for unauthenticated attackers to overwrite the plugin's Smartcat API credentials (account ID, API secret key, hub key, API host, and hub host), effectively hijacking the translation service or causing a denial of service.

🤖 AI Executive Summary

The Smartcat Translator for WPML WordPress plugin contains a missing capability check on the routeData REST endpoint, allowing unauthenticated attackers to modify plugin settings and overwrite API credentials. This vulnerability enables attackers to hijack translation services or cause denial of service by compromising critical authentication tokens.

📄 Description (Arabic)

يفتقد مكون Smartcat Translator for WPML إلى فحص القدرة على نقطة نهاية REST routeData، مما يسمح للمهاجمين غير المصرح لهم بتعديل بيانات اعتماد Smartcat API بما في ذلك معرف الحساب ومفتاح API السري. يمكن للمهاجمين استخدام هذا الثغرة لاختطاف خدمة الترجمة أو إحداث رفض الخدمة.

🤖 ملخص تنفيذي (AI)

يحتوي مكون Smartcat Translator for WPML على فحص قدرة مفقود في نقطة نهاية REST، مما يسمح للمهاجمين غير المصرح لهم بتعديل إعدادات المكون وتجاوز بيانات اعتماد API. يمكن لهذا الثغرة تمكين المهاجمين من اختطاف خدمات الترجمة أو التسبب في رفض الخدمة.

🤖 AI Intelligence Analysis Analyzed: May 16, 2026 02:00

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government banking telecom healthcare

🎯 MITRE ATT&CK Techniques

T1190 T1199 T1566

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update the Smartcat Translator for WPML plugin to version 3.1.78 or later immediately. Implement proper capability checks on all REST endpoints. Restrict REST API access to authenticated users with appropriate roles. Monitor API credential changes and implement audit logging for sensitive operations.

🔧 خطوات المعالجة (العربية)

قم بتحديث مكون Smartcat Translator for WPML إلى الإصدار 3.1.78 أو أحدث فوراً. قم بتطبيق فحوصات القدرة المناسبة على جميع نقاط نهاية REST. قيد الوصول إلى واجهة برمجة التطبيقات REST للمستخدمين المصرح لهم. راقب التغييرات في بيانات اعتماد API وقم بتطبيق تسجيل التدقيق.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.2.5

🔗 References & Sources 4

🔗

https://plugins.trac.wordpress.org/browser/smartcat-wpml/trunk/includes/Controllers/Cal...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/smartcat-wpml/trunk/includes/Services/Plugin...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/changeset/3524382/

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/6a9397ed-eddf-466b-b810-1e2f4...

security@wordfence.com

📊 CVSS Score

6.5

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 Quick Facts

Severity Medium

CVSS Score6.5

CWECWE-862

EPSS0.08%

Exploit No

Patch ✗ No

Published 2026-05-15

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-862

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-4683

Introduce Yourself

Sign In Required