CVE-2026-5130

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2026-5130
The Debugger & Troubleshooter plugin for WordPress was vulnerable to Unauthenticated Privilege Escalation in versions up to and including 1.3.2. This was due to the plugin accepting the wp_debug_troubleshoot_simulate_user cookie value directly as a user ID without any cryptographic validation or authorization checks. The cookie value was used to override the determine_current_user filter, which allowed unauthenticated attackers to impersonate any user by simply setting the cookie to their target user ID. This made it possible for unauthenticated attackers to gain administrator-level access and perform any privileged actions including creating new administrator accounts, modifying site content, installing plugins, or taking complete control of the WordPress site. The vulnerability was fixed in version 1.4.0 by implementing a cryptographic token-based validation system where only administrators can initiate user simulation, and the cookie contains a random 64-character token that must be validated against database-stored mappings rather than accepting arbitrary user IDs.

8.8 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://plugins.trac.wordpress.org/browser/debugger-troubleshooter/tags/1.3.2/debug-troubleshooter.php#L827
https://plugins.trac.wordpress.org/browser/debugger-troubleshooter/tags/1.3.2/debug-troubleshooter.php#L849
https://plugins.trac.wordpress.org/changeset/3486202/debugger-troubleshooter/trunk/debug-troubleshooter.php
https://www.wordfence.com/threat-intel/vulnerabilities/id/3e037931-870f-45eb-973c-0276911682ad?source=cve
Configurations

No configuration.

History

01 Apr 2026, 14:24

Type Values Removed Values Added
Summary
  • (es) El plugin Debugger & Troubleshooter para WordPress era vulnerable a una escalada de privilegios no autenticada en versiones hasta la 1.3.2 inclusive. Esto se debía a que el plugin aceptaba el valor de la cookie wp_debug_troubleshoot_simulate_user directamente como un ID de usuario sin ninguna validación criptográfica ni comprobaciones de autorización. El valor de la cookie se utilizaba para anular el filtro determine_current_user, lo que permitía a atacantes no autenticados suplantar a cualquier usuario simplemente configurando la cookie con el ID de usuario objetivo. Esto hacía posible que atacantes no autenticados obtuvieran acceso a nivel de administrador y realizaran cualquier acción privilegiada, incluyendo la creación de nuevas cuentas de administrador, la modificación del contenido del sitio, la instalación de plugins o el control total del sitio de WordPress. La vulnerabilidad fue corregida en la versión 1.4.0 mediante la implementación de un sistema de validación criptográfico basado en tokens donde solo los administradores pueden iniciar la simulación de usuario, y la cookie contiene un token aleatorio de 64 caracteres que debe ser validado contra mapeos almacenados en la base de datos en lugar de aceptar IDs de usuario arbitrarios.

30 Mar 2026, 23:17

Type Values Removed Values Added
New CVE
Information

Published : 2026-03-30 23:17

Updated : 2026-04-01 14:24

NVD link : CVE-2026-5130

Mitre link : CVE-2026-5130

CVE.ORG link : CVE-2026-5130

JSON object : View

Products Affected

No product.

CWE
CWE-565

Reliance on Cookies without Validation and Integrity Checking