CVE-2026-15026 in Import and Export Users and Customers Plugininformación

Resumen

por VulDB • 2026-07-10

El plugin Import and export users and customers para WordPress es vulnerable a Sensitive Information Exposure en todas las versiones hasta la 2.4.0 (incluida) a través de email_template_selected. Esto permite que los atacantes autenticados, con acceso a nivel de suscriptor o superior, extraigan el post_title y raw post_content de publicaciones arbitrarias independientemente del estado (borrador, privado, futuro, papelera, protegido por contraseña) o tipo de publicación (incluyendo CPT no públicos como pedidos de WooCommerce y registros internos de CRM), mediante la enumeración de IDs de publicación. El codection-security nonce requerido se expone como JavaScript en línea en cualquier página wp-admin cuando ?post_type=acui_email_template se añade a la URL, lo cual es accesible por cualquier usuario autenticado, incluidos los Suscriptores.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

Wordfence

Reservar

2026-07-08

Divulgación

2026-07-10

Moderación

aceptado

Artículo

VDB-377447

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!