CVE-2026-9656 in HubSpot All-In-One Marketing Plugin
الملخص
بحسب VulDB • 17/07/2026
يحتوي مكون WordPress "HubSpot All-In-One Marketing – Forms, Popups, Live Chat" على ثغرة تؤدي إلى كشف معلومات حساسة في جميع الإصدارات حتى 11.3.62 (بما فيها) عبر دالة `wp_localize_script()` وكائن JavaScript `window.leadinConfig`. يتيح ذلك للمهاجمين المصادق عليهم، والذين يمتلكون صلاحيات مستوى "مُساهم" فأعلى، استخراج رمز تحديث OAuth الخاص بـ HubSpot الموجود كنص واضح (plaintext)، والمكشوف عبر كائن JavaScript `window.leadinConfig`؛ ويمكن بعد ذلك استخدام هذا الرمز للوصول إلى البيانات أو تعديلها في مستأجر HubSpot المتصل. وعلى الرغم من تخزين رمز التحديث أثناء السكون باستخدام تشفير AES-256-CTR، فإن عملية فك التشفير تحدث على جانب الخادم قبل تمرير القيمة كنص واضح إلى `wp_localize_script()`، مما يجعل تشفير حالة السكون غير فعال ضد مسار هذا الكشف.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.