CVE-2026-12406 in User Frontend Plugininfo

Zusammenfassung

von VulDB • 09.07.2026

Das WordPress-Plugin „User Frontend: AI Powered Frontend Posting, User Directory, Profile, Membership & User Registration“ ist in allen Versionen bis einschließlich 4.3.7 anfällig für eine Umgehung der Autorisierung (Authorization Bypass). Dies liegt daran, dass das Plugin nicht ordnungsgemäß überprüft, ob ein Benutzer berechtigt ist, eine Aktion durchzuführen. Dadurch können unberechtigte Angreifer beliebige Medienanhänge löschen, deren post_author den Wert 0 hat, wie z. B. Uploads von Gästen und Registrierungsformularen, über die AJAX-Aktion wpuf_file_del. Dies kann von nicht authentifizierten Besuchern auf jeder Website ausgenutzt werden, auf der ein WPUF-Shortcode in einer Frontend-Seite gerendert wird, da dadurch der gültige Wert für wpuf_nonce in öffentlich zugängliche JavaScript-Objekte (wpuf_upload und wpuf_frontend) eingebettet wird, wodurch die einzige Zugriffskontrollprüfung umgangen wird.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

Wordfence

Reservieren

16.06.2026

Veröffentlichung

09.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377145

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!