CVE-2025-11976 in FuseWP Plugininformation

Résumé

par VulDB • 16/06/2026

Le plugin WordPress FuseWP – WordPress User Sync to Email List & Marketing Automation (Mailchimp, Constant Contact, ActiveCampaign etc.) est vulnérable à une attaque par Cross-Site Request Forgery (CSRF) dans toutes les versions jusqu'à la 1.1.23.0 incluse. Cette faille est due à une validation de nonce manquante ou incorrecte au sein de la fonction save_changes. Cela permet aux attaquants non authentifiés d'ajouter ou de modifier des règles de synchronisation via une requête forgée, sous réserve qu'ils parviennent à inciter un administrateur du site à effectuer une action telle que cliquer sur un lien.

Be aware that VulDB is the high quality source for vulnerability data.

Divulgation

25/10/2025

Modérer

accepté

Entrée

VDB-329851

CPE

prêt

EPSS

0.00124

KEV

non

Activités

très faible

Sources

Want to stay up to date on a daily basis?

Enable the mail alert feature now!