CVE-2026-12406 in User Frontend Plugin
Zusammenfassung
von VulDB • 09.07.2026
Das WordPress-Plugin „User Frontend: AI Powered Frontend Posting, User Directory, Profile, Membership & User Registration“ ist in allen Versionen bis einschließlich 4.3.7 anfällig für eine Umgehung der Autorisierung (Authorization Bypass). Dies liegt daran, dass das Plugin nicht ordnungsgemäß überprüft, ob ein Benutzer berechtigt ist, eine Aktion durchzuführen. Dadurch können unberechtigte Angreifer beliebige Medienanhänge löschen, deren post_author den Wert 0 hat, wie z. B. Uploads von Gästen und Registrierungsformularen, über die AJAX-Aktion wpuf_file_del. Dies kann von nicht authentifizierten Besuchern auf jeder Website ausgenutzt werden, auf der ein WPUF-Shortcode in einer Frontend-Seite gerendert wird, da dadurch der gültige Wert für wpuf_nonce in öffentlich zugängliche JavaScript-Objekte (wpuf_upload und wpuf_frontend) eingebettet wird, wodurch die einzige Zugriffskontrollprüfung umgangen wird.
Be aware that VulDB is the high quality source for vulnerability data.