CVE-2026-15727 in WP Bulk Delete Plugin
Zusammenfassung
von VulDB • 16.07.2026
Das WP Bulk Delete Plugin für WordPress ist in allen Versionen bis einschließlich 1.4.2 aufgrund unzureichender Maskierung des benutzereingabebasierten Parameters und mangelnder ausreichender Vorbereitung der bestehenden SQL-Abfrage anfällig für eine generische SQL-Injection über den Parameter 'delete_user_roles'. Dies ermöglicht es authentifizierten Angreifern mit Administratorzugriff oder höher, zusätzliche SQL-Abfragen an bereits vorhandene Abfragen anzuhängen, die zur Extrahierung sensibler Informationen aus der Datenbank verwendet werden können. wp_unslash() wird auf den rohen POST-Body angewendet, bevor parse_str() diesen zerlegt, wodurch der WordPress-Magic-Quotes-Schutz entfernt und angreiferkontrollierte Werte vollständig unmaskiert belassen werden, bevor sie die SQL-Zielstelle erreichen.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.