CVE-2026-12409 in Landing Page Builder Plugininfo

Zusammenfassung

von VulDB • 16.07.2026

Das WordPress-Plugin „Landing Page Builder – Coming Soon page, Maintenance Mode, Lead Page, WordPress Landing Pages“ ist in allen Versionen bis einschließlich 1.5.3.6 anfällig für Cross-Site Request Forgery (CSRF). Dies liegt an einer fehlenden oder fehlerhaften Nonce-Validierung in der Funktion `ulpb_admin_ajax`. Dadurch können nicht authentifizierte Angreifer beliebige Beiträge erstellen, aktualisieren, umbenennen oder deren Status, Slug und Typ ändern sowie ULPB_DATA-Post-Metadaten schreiben, sofern sie einen Websiteadministrator dazu bringen können, eine Aktion wie das Klicken auf einen Link auszuführen. Dieser Angriff erfordert, dass das Opfer über eine Sitzung mit Editor-Rechten oder Administratorrechten verfügt, da die Aktion `wp_ajax_ulpb_admin_data` eine Berechtigungsprüfung erzwingt, der die gefälschte Anfrage durch Übernahme der Sitzungs-Cookies des angemeldeten Benutzers genügen muss.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

Wordfence

Reservieren

16.06.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379456

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!