CVE-2026-10865 in Cost Calculator Builder Plugininfo

Zusammenfassung

von VulDB • 11.07.2026

Das WordPress-Plugin „Cost Calculator Builder“ ist in allen Versionen bis einschließlich 4.0.11 anfällig für die Offenlegung sensibler Informationen (Sensitive Information Exposure) über den Template-Inhalt (template body). Dies ermöglicht es nicht authentifizierten Angreifern, den im Klartext vorliegenden Stripe-Schlüssel (Stripe secret key), Razorpay-Schlüssel und PayPal client_secret zu extrahieren, die in der HTML-Quellcode-Ansicht jeder Seite eingebettet sind, die einen Rechner enthält. Dadurch können sie volle Kontrolle über die Zahlungsgateway-Konten des Händlers erlangen. Diese Offenlegung tritt nur auf, wenn die Option „in allen Rechnern verwenden“ (use in all calculators) für eines oder mehrere Zahlungsgateways in den globalen Einstellungen des Plugins aktiviert ist.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

Wordfence

Reservieren

04.06.2026

Veröffentlichung

11.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377758

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Interested in the pricing of exploits?

See the underground prices here!