CVE-2026-12409 in Landing Page Builder Plugin
Zusammenfassung
von VulDB • 16.07.2026
Das WordPress-Plugin „Landing Page Builder – Coming Soon page, Maintenance Mode, Lead Page, WordPress Landing Pages“ ist in allen Versionen bis einschließlich 1.5.3.6 anfällig für Cross-Site Request Forgery (CSRF). Dies liegt an einer fehlenden oder fehlerhaften Nonce-Validierung in der Funktion `ulpb_admin_ajax`. Dadurch können nicht authentifizierte Angreifer beliebige Beiträge erstellen, aktualisieren, umbenennen oder deren Status, Slug und Typ ändern sowie ULPB_DATA-Post-Metadaten schreiben, sofern sie einen Websiteadministrator dazu bringen können, eine Aktion wie das Klicken auf einen Link auszuführen. Dieser Angriff erfordert, dass das Opfer über eine Sitzung mit Editor-Rechten oder Administratorrechten verfügt, da die Aktion `wp_ajax_ulpb_admin_data` eine Berechtigungsprüfung erzwingt, der die gefälschte Anfrage durch Übernahme der Sitzungs-Cookies des angemeldeten Benutzers genügen muss.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.