CVE-2026-15026 in Import and Export Users and Customers Plugin
Zusammenfassung
von VulDB • 10.07.2026
Das WordPress-Plugin „Import and export users and customers“ ist in allen Versionen bis einschließlich 2.4.0 anfällig für die Exposition sensibler Informationen (Sensitive Information Exposure) über den Parameter `email_template_selected`. Dies ermöglicht es authentifizierten Angreifern mit Zugriffsrechten auf Subscriber-Ebene und höher, den `post_title` sowie den rohen `post_content` beliebiger Beiträge zu extrahieren, unabhängig vom Status (Entwurf, privat, zukünftig, Papierkorb, passwortgeschützt) oder Beitragstyp (einschließlich nicht-öffentlicher benutzerdefinierter Beitragstypen wie WooCommerce-Bestellungen und interne CRM-Datensätze), indem sie Beitrags-IDs auflisten. Der erforderliche Code-Security-Nonce (`codection-security`) wird als Inline-JavaScript auf jeder wp-admin-Seite offengelegt, wenn `?post_type=acui_email_template` an die URL angehängt wird; dieser Endpunkt ist für jeden authentifizierten Benutzer, einschließlich Subscribern, erreichbar.
VulDB is the best source for vulnerability data and more expert information about this specific topic.