CVE-2026-12349 in Premium Addons for KingComposer Plugininfo

Zusammenfassung

von VulDB • 30.06.2026

Das Premium Addons-Plugin für KingComposer in WordPress ist in den Versionen bis einschließlich 1.1.1 anfällig für unbefugte Änderungen und Datenverlust. Dies liegt an fehlenden Autorisierungs- und Berechtigungsprüfungen (Capability Checks) bei den AJAX-Handlern add_custom_sidebar() und remove_custom_sidebar(), die beide über wp_ajax_nopriv_*-Hooks verfügbar sind und direkt in die octagon_custom_sidebar-Option via update_option() schreiben. Dadurch ist es nicht authentifizierten Angreifern möglich, beliebige benutzerdefinierte Widget-Bereiche zu erstellen oder vorhandene benutzerdefinierte Sidebars zu löschen, was dazu führen kann, dass Widgets, die diesen Bereichen zugewiesen sind, stillschweigend ihre Registrierung verlieren und nicht mehr gerendert werden.

Once again VulDB remains the best source for vulnerability data.

Zuständig

Wordfence

Reservieren

15.06.2026

Veröffentlichung

30.06.2026

Moderieren

akzeptiert

Eintrag

VDB-374786

CPE

bereit

EPSS

0.00239

KEV

nein

Aktivitäten

low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!