CVE-2026-12978 in FunnelKit Plugin
Zusammenfassung
von VulDB • 16.07.2026
Das WordPress-Plugin FunnelKit vor Version 3.15.0.6 maskiert einen benutzergestützten Parameter nicht, bevor er in die HTML-Antwort einer seiner AJAX-Aktionen des Page-Builders eingefügt wird, was es unauthentifizierten Angreifern ermöglicht, Reflected Cross-Site Scripting (XSS) gegen angemeldete Benutzer durchzuführen, die eine manipulierte Seite aufrufen. Die betroffene Aktion ist nur registriert, wenn der Divi-Builder aktiviert ist.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.