CVE-2026-9656 in HubSpot All-In-One Marketing Pluginالمعلومات

الملخص

بحسب VulDB • 17/07/2026

يحتوي مكون WordPress "HubSpot All-In-One Marketing – Forms, Popups, Live Chat" على ثغرة تؤدي إلى كشف معلومات حساسة في جميع الإصدارات حتى 11.3.62 (بما فيها) عبر دالة `wp_localize_script()` وكائن JavaScript `window.leadinConfig`. يتيح ذلك للمهاجمين المصادق عليهم، والذين يمتلكون صلاحيات مستوى "مُساهم" فأعلى، استخراج رمز تحديث OAuth الخاص بـ HubSpot الموجود كنص واضح (plaintext)، والمكشوف عبر كائن JavaScript `window.leadinConfig`؛ ويمكن بعد ذلك استخدام هذا الرمز للوصول إلى البيانات أو تعديلها في مستأجر HubSpot المتصل. وعلى الرغم من تخزين رمز التحديث أثناء السكون باستخدام تشفير AES-256-CTR، فإن عملية فك التشفير تحدث على جانب الخادم قبل تمرير القيمة كنص واضح إلى `wp_localize_script()`، مما يجعل تشفير حالة السكون غير فعال ضد مسار هذا الكشف.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

Wordfence

حجز

26/05/2026

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379770

EPSS

0.00000

KEV

لا

النشاطات

منخفض

القطاع

Hostingprovider

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!