CVE-2026-12434 in List category posts Plugininfo

Zusammenfassung

von VulDB • 16.07.2026

Das WordPress-Plugin „The List category posts" ist in allen Versionen bis einschließlich 0.95.0 anfällig für die Offenlegung sensibler Informationen über den Parameter sanitize_status. Dies ermöglicht es authentifizierten Angreifern mit Contributor-Rechten oder höher, Titel, vollständigen Inhalt, Auszüge, Daten, Autoren und Metadaten benutzerdefinierter Felder von anderen Benutzern stehender (pending-review), geplanter (scheduled) und in den Papierkorb verschobener (trashed) Beiträge zu extrahieren, indem sie einen speziell angefertigten [catlist]-Shortcode in ihren eigenen Entwurf einbetten und diesen anschließend auf der Vorschau-Seite anzeigen. Diese Schwachstelle umgeht die unvollständige Korrektur, die für CVE-2025-11377 in Version 0.93.0 eingeführt wurde.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

Wordfence

Reservieren

16.06.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379454

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!