The MonsterInsights – Google Analytics Dashboard for WordPress (Website Stats Made Easy) plugin for WordPress is vulnerable to unauthorized access and modification of data due to a missing capability checks on the get_ads_access_token() and reset_experience() functions in all versions up to, and including, 10.1.2. This makes it possible for authenticated attackers, with Subscriber-level access and above, to retrieve live Google OAuth access tokens and reset Plugins's Google Ads integration.
MonsterInsights WordPress plugin versions up to 10.1.2 lack proper capability checks in OAuth token and settings functions, allowing authenticated subscribers to retrieve Google access tokens and reset configurations. This vulnerability enables unauthorized access to sensitive Google Analytics and Ads data for any WordPress site using the affected plugin.
يفتقد مكون MonsterInsights للتحقق من صلاحيات المستخدم في دوال الحصول على رموز OAuth وإعادة تعيين التجربة، مما يسمح للمستخدمين المصرح لهم بمستوى المشترك أو أعلى بالوصول إلى رموز Google OAuth الحية. يمكن للمهاجمين استخدام هذه الرموز للوصول إلى بيانات Google Analytics و Google Ads الحساسة وتعديل إعدادات التكامل.
MonsterInsights WordPress plugin versions up to 10.1.2 lack proper capability checks in OAuth token and settings functions, allowing authenticated subscribers to retrieve Google access tokens and reset configurations. This vulnerability enables unauthorized access to sensitive Google Analytics and Ads data for any WordPress site using the affected plugin.
Update MonsterInsights plugin to version 10.1.3 or later immediately. Review user roles and remove unnecessary Subscriber-level access. Audit Google OAuth token access logs and revoke compromised tokens from Google Cloud Console. Implement Web Application Firewall rules to monitor suspicious plugin API calls.
قم بتحديث مكون MonsterInsights إلى الإصدار 10.1.3 أو أحدث فوراً. راجع أدوار المستخدمين وأزل الوصول غير الضروري على مستوى المشترك. تدقيق سجلات الوصول إلى رموز OAuth وإلغاء الرموز المخترقة من وحدة تحكم Google Cloud. تطبيق قواعد جدار الحماية لمراقبة استدعاءات API المريبة للمكون.