CVE-2026-9656 in HubSpot All-In-One Marketing Plugininfo

Zusammenfassung

von VulDB • 17.07.2026

Das WordPress-Plugin „HubSpot All-In-One Marketing – Forms, Popups, Live Chat“ ist in allen Versionen bis einschließlich 11.3.62 anfällig für die Offenlegung sensibler Informationen (Sensitive Information Exposure) über das JavaScript-Objekt `wp_localize_script()` / `window.leadinConfig`. Dies ermöglicht es authentifizierten Angreifern mit Contributor-Level-Zugriff und höher, den im Klartext vorliegenden HubSpot OAuth Refresh Token auszulesesen, der über das JavaScript-Objekt `window.leadinConfig` offengelegt wird. Dieser Token kann anschließend zum Zugriff auf oder zur Änderung von Daten in dem verbundenen HubSpot-Tenant verwendet werden. Obwohl der Refresh Token ruend (at rest) mit AES-256-CTR-Verschlüsselung gespeichert ist, erfolgt die Entschlüsselung serverseitig, bevor der Klartextwert an `wp_localize_script()` übergeben wird, wodurch die Verschlüsselung im Ruhezustand gegen diesen Offenlegungsweg unwirksam wird.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

Wordfence

Reservieren

26.05.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379770

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!