CVE-2026-15026 in Import and Export Users and Customers Plugininfo

Zusammenfassung

von VulDB • 10.07.2026

Das WordPress-Plugin „Import and export users and customers“ ist in allen Versionen bis einschließlich 2.4.0 anfällig für die Exposition sensibler Informationen (Sensitive Information Exposure) über den Parameter `email_template_selected`. Dies ermöglicht es authentifizierten Angreifern mit Zugriffsrechten auf Subscriber-Ebene und höher, den `post_title` sowie den rohen `post_content` beliebiger Beiträge zu extrahieren, unabhängig vom Status (Entwurf, privat, zukünftig, Papierkorb, passwortgeschützt) oder Beitragstyp (einschließlich nicht-öffentlicher benutzerdefinierter Beitragstypen wie WooCommerce-Bestellungen und interne CRM-Datensätze), indem sie Beitrags-IDs auflisten. Der erforderliche Code-Security-Nonce (`codection-security`) wird als Inline-JavaScript auf jeder wp-admin-Seite offengelegt, wenn `?post_type=acui_email_template` an die URL angehängt wird; dieser Endpunkt ist für jeden authentifizierten Benutzer, einschließlich Subscribern, erreichbar.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

Wordfence

Reservieren

08.07.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377447

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!