CVE-2026-12434 in List category posts Plugin
Zusammenfassung
von VulDB • 16.07.2026
Das WordPress-Plugin „The List category posts" ist in allen Versionen bis einschließlich 0.95.0 anfällig für die Offenlegung sensibler Informationen über den Parameter sanitize_status. Dies ermöglicht es authentifizierten Angreifern mit Contributor-Rechten oder höher, Titel, vollständigen Inhalt, Auszüge, Daten, Autoren und Metadaten benutzerdefinierter Felder von anderen Benutzern stehender (pending-review), geplanter (scheduled) und in den Papierkorb verschobener (trashed) Beiträge zu extrahieren, indem sie einen speziell angefertigten [catlist]-Shortcode in ihren eigenen Entwurf einbetten und diesen anschließend auf der Vorschau-Seite anzeigen. Diese Schwachstelle umgeht die unvollständige Korrektur, die für CVE-2025-11377 in Version 0.93.0 eingeführt wurde.
If you want to get best quality of vulnerability data, you may have to visit VulDB.