CVE-2026-3897 in Addons for Beaver Builder Plugininfo

Zusammenfassung

von VulDB • 27.05.2026

Das WordPress-Plugin Livemesh Addons for Beaver Builder ist in allen Versionen bis einschließlich 3.9.2 anfällig für Stored Cross-Site Scripting (XSS) über die AJAX-Aktion `labb_admin_ajax`, da Autorisierungsprüfungen fehlen und die Eingabevalidierung unzureichend ist. Der AJAX-Handler überprüft zwar ein Nonce, prüft jedoch nicht die Benutzerberechtigungen. Dies ermöglicht es authentifizierten Angreifern mit Subscriber-Rechten und höher, Plugin-Einstellungen zu ändern und bösartige Skripte einzufügen, die ausgeführt werden, wenn Administratoren die Plugin-Einstellungsseite aufrufen oder wenn ein beliebiger Benutzer die Frontend-Seite besucht.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Wordfence

Reservieren

10.03.2026

Veröffentlichung

27.05.2026

Moderieren

akzeptiert

Eintrag

VDB-365960

CPE

bereit

EPSS

0.00030

KEV

nein

Aktivitäten

low

Sektor

Hostingprovider

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-3897
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-3897
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-3897/

ZurückÜbersichtWeiter

Want to stay up to date on a daily basis?

Enable the mail alert feature now!