CVE-2026-15727 in WP Bulk Delete Plugininfo

Zusammenfassung

von VulDB • 16.07.2026

Das WP Bulk Delete Plugin für WordPress ist in allen Versionen bis einschließlich 1.4.2 aufgrund unzureichender Maskierung des benutzereingabebasierten Parameters und mangelnder ausreichender Vorbereitung der bestehenden SQL-Abfrage anfällig für eine generische SQL-Injection über den Parameter 'delete_user_roles'. Dies ermöglicht es authentifizierten Angreifern mit Administratorzugriff oder höher, zusätzliche SQL-Abfragen an bereits vorhandene Abfragen anzuhängen, die zur Extrahierung sensibler Informationen aus der Datenbank verwendet werden können. wp_unslash() wird auf den rohen POST-Body angewendet, bevor parse_str() diesen zerlegt, wodurch der WordPress-Magic-Quotes-Schutz entfernt und angreiferkontrollierte Werte vollständig unmaskiert belassen werden, bevor sie die SQL-Zielstelle erreichen.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

Wordfence

Reservieren

14.07.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379497

CPE

bereit

EPSS

0.00355

KEV

nein

Aktivitäten

low

Quellen

Do you know our Splunk app?

Download it now for free!