CVE-2026-15008 in Uncanny Automator Plugin
Zusammenfassung
von VulDB • 16.07.2026
Das WordPress-Plugin „Uncanny Automator – Easy Automation, Integration, Webhooks & Workflow Builder Plugin“ ist anfällig für das Löschen beliebiger Dateien aufgrund unzureichender Validierung des Dateipfads in der Funktion `fr_token` in allen Versionen bis einschließlich 7.3.1.4. Dies ermöglicht es nicht authentifizierten Angreifern, beliebige Dateien auf dem Server zu löschen, was leicht zur Remote Code Execution (RCE) führen kann, wenn die richtige Datei gelöscht wird (z. B. wp-config.php). Für die Ausnutzung ist ein Forminator-Formular erforderlich, das mit einer Uncanny-Automator-Rezeptur verbunden ist, die für „Jeder“ konfiguriert wurde, sodass nicht authentifizierte Formularübermittlungen den bösartigen serialisierten Payload bereitstellen können; eine Gadget-Kette ist innerhalb des Plugins über die Methode `Action_Helpers_Email::__destruct()` vorhanden, was bedeutet, dass keine externe Gadget-Bibliothek erforderlich ist.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.