CVE-2026-9709
Themeco Cornerstone < 7.8.9 (Premium, bundled with X Theme) - Subscriber+ Arbitrary User Meta Disclosure
Vexday Risk Score
41Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
Maturidade do exploit
Prova de conceito
Existe prova de conceito pública, mas ainda não automatizada.
CVSS 7.7EPSS 0.2%KEV nãoPoC públicaNuclei —Metasploit —Patch —
Ciclo de vida
24 jun 2026Publicada no NVD
Recomendação: Planejar correção próxima — já existe PoC pública.
The Cornerstone WordPress plugin before 7.8.9 does not enforce capability checks on one of its REST API routes, allowing any authenticated user to disclose the metadata of any other user, including roles, session token previews and stored billing/shipping fields. This affects the premium co Cornerstone page builder distributed bundled with the X , not the unrelated free `cornerstone` Cornerstone WordPress plugin before 7.8.9 (v0.8.x) on the .org repository.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
Produtos afetados
Unknown · CornerstonePoCs públicas encontradas — 1
cve_referencewpscan.com/vulnerability/3ade0e4e-2070-4d3b-8f31-0d446839efd0/não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.