CVE-2026-1291
Moderat

CVE-2026-1291: Meow Gallery WordPress sårbarhed

WordPress-plugin Meow Gallery lader indloggede brugere med lav adgang overskrive andres galleri-indhold uden tilladelse.

CVSS Score
4.3
Offentliggjort
13/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 7 dage

Hvad er det?

Meow Gallery er et populært WordPress-plugin til at vise billedgallerier på hjemmesider. En fejl i pluginnets programmeringsinterface (REST API) betyder, at enhver indlogget bruger med rollen ‘Forfatter’ eller højere kan oprette eller overskrive eksisterende galleri-konfigurationer. Det skyldes, at systemet ikke tjekker, om brugeren faktisk har lov til at ændre den pågældende post. En angriber behøver altså ikke at være administrator — det er nok at have en almindelig brugerkonto på siden.

Hvem rammer det?

Sårbarheden rammer alle WordPress-hjemmesider, der bruger Meow Gallery i version 5.4.4 eller tidligere, og som har mere end én bruger med rollen Forfatter, Redaktør eller Administrator. Det er typisk relevant for:

  • Virksomheder med nyhedsside, blog eller portfolio på WordPress
  • Foreninger og organisationer med frivillige skribenter
  • Webshops og bureauer der bruger WordPress som CMS (indholdsstyringssystem)

Hvad kan ske?

En angriber der allerede har en brugerkonto på din WordPress-hjemmeside kan udnytte fejlen til at:

  • Overskrive eksisterende billedgallerier med eget indhold — fx uønskede billeder eller links
  • Oprette falske galleri-poster der forvirrer indholdet på siden
  • Manipulere hjemmesidens udseende og troværdighed uden at efterlade tydelige spor i administrationen

Der er ingen risiko for, at angriberen kan læse hemmelige data eller nedlukke siden. Skaden er begrænset til ændring af indhold.

Hvor alvorligt er det?

CVSS-scoren er 4,3 ud af 10, hvilket klassificeres som moderat. Angrebet kræver, at angriberen allerede er indlogget med en gyldig brugerkonto — det er ikke muligt at udnytte fejlen uden forudgående adgang. Konsekvensen er begrænset til indholdssabotage og påvirker hverken fortrolighed eller tilgængelighed af siden. For de fleste SMV’er er risikoen lav, men bør ikke ignoreres, særligt hvis siden har mange brugere.

Hvad gør jeg nu?

Følg disse trin for at lukke hullet:

  1. Opdatér Meow Gallery-pluginnet til den nyeste version via WordPress-admin under Plugins → Opdateringer. Fejlen er rettet i version 5.4.5 eller nyere.
  2. Gennemgå dine WordPress-brugere og fjern konti der ikke længere er i brug, eller skru ned for rollen på brugere der ikke har brug for Forfatter-adgang.
  3. Tjek eksisterende gallerier for uventede ændringer eller fremmed indhold, så du kan genoprette eventuelt manipulerede poster.
  4. Overvej to-faktor-login for alle brugere med adgang til WordPress-backend, så det er sværere at misbruge en stjålet konto.
Tidsfrist

Opdatér inden for 7 dage

Sådan ser Auroa det

Opdatér Meow Gallery-pluginnet hurtigst muligt — det er en simpel og hurtig handling der lukker hullet. Udnyttelse kræver en indlogget brugerkonto, så risikoen er størst for sider med mange aktive brugere. Brug anledningen til at rydde op i gamle WordPress-konti og sikre, at brugere kun har det adgangsniveau de reelt har brug for.

Tidslinje

13/06/2026
CVE offentliggjort
National Vulnerability Database (NVD) offentliggør CVE-2026-1291 og beskriver fejlen i Meow Gallery op til og med version 5.4.4.
13/06/2026
Patch tilgængelig
En opdateret version af Meow Gallery udgives i WordPress plugin-biblioteket med rettelsen til den manglende adgangskontrol.
14/06/2026
Proof-of-concept tilgængeligt
Tekniske detaljer om, hvordan REST API-endpointet misbruges, er tilgængeligt offentligt, hvilket øger risikoen for forsøg på udnyttelse mod upatchede sider.

Konkrete eksempler

Tidligere freelanceskribent misbruger sin konto

En virksomhed har tidligere brugt en freelance-tekstforfatter, der har fået oprettet en WordPress-konto med rollen ‘Forfatter’. Samarbejdet er afsluttet, men kontoen er aldrig slettet. Den tidligere freelancer sender en HTTP-forespørgsel direkte til API-adressen og overskriver virksomhedens forsidegalleri med uønskede billeder. Fejlen opdages først, da en kunde spørger ind til det fremmede indhold.

Internt misbrug af en utilfreds medarbejder

En medarbejder med adgang til virksomhedens blog-backend har rollen ‘Redaktør’. Uden at kende administratoradgangskoden sender medarbejderen en manipuleret forespørgsel til Meow Gallery-endpointet og ændrer id-værdien til en galleri-post, vedkommende normalt ikke må redigere. Resultatet er, at en kollegas galleri-samling overskrives med forkert indhold — uden at efterlade spor i den normale aktivitetslog.

Automatiseret scanning efterfulgt af masseændring

Et automatiseret scannerværktøj identificerer en WordPress-side som sårbar over for CVE-2026-1291. En angriber, der tidligere har erhvervet gyldige loginoplysninger via phishing, logger ind med en forfatter-konto og kører et script der systematisk overskriver alle galleri-poster på siden med links til skadelige hjemmesider. Besøgende på siden møder nu indhold der forsøger at narre dem til at klikke på farlige links.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
NONE
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

CWE-svaghedstyper

CWE-639

Original NVD-beskrivelse (engelsk)

The Meow Gallery plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the REST API endpoint /wp-json/meow-gallery/v1/save_shortcode in all versions up to, and including, 5.4.4 This makes it possible for authenticated attackers, with Author-level access and above, to arbitrarily create or overwrite existing gallery shortcode records by supplying a user-controlled id value. The endpoint performs database update operations without verifying that the requesting user is authorized to modify the referenced gallery record or create their own.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
4.3
Visning
Hurtige fakta
CVE-ID
CVE-2026-1291
Offentliggjort
13/06/2026
Sidst opdateret
13/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.