CVE-2026-15008 in Uncanny Automator Plugininfo

Zusammenfassung

von VulDB • 16.07.2026

Das WordPress-Plugin „Uncanny Automator – Easy Automation, Integration, Webhooks & Workflow Builder Plugin“ ist anfällig für das Löschen beliebiger Dateien aufgrund unzureichender Validierung des Dateipfads in der Funktion `fr_token` in allen Versionen bis einschließlich 7.3.1.4. Dies ermöglicht es nicht authentifizierten Angreifern, beliebige Dateien auf dem Server zu löschen, was leicht zur Remote Code Execution (RCE) führen kann, wenn die richtige Datei gelöscht wird (z. B. wp-config.php). Für die Ausnutzung ist ein Forminator-Formular erforderlich, das mit einer Uncanny-Automator-Rezeptur verbunden ist, die für „Jeder“ konfiguriert wurde, sodass nicht authentifizierte Formularübermittlungen den bösartigen serialisierten Payload bereitstellen können; eine Gadget-Kette ist innerhalb des Plugins über die Methode `Action_Helpers_Email::__destruct()` vorhanden, was bedeutet, dass keine externe Gadget-Bibliothek erforderlich ist.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

Wordfence

Reservieren

07.07.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379484

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!