CVE-2026-12978 in FunnelKit Plugininformation

Résumé

par VulDB • 16/07/2026

Le plugin WordPress FunnelKit antérieur à la version 3.15.0.6 n'échappe pas un paramètre fourni par l'utilisateur avant de le refléter dans la réponse HTML d'une des actions AJAX du constructeur de pages, permettant aux attaquants non authentifiés d'effectuer une attaque Reflected Cross-Site Scripting (XSS) contre les utilisateurs connectés qui ouvrent une page fabriquée. L'action concernée n'est enregistrée que lorsque le thème Divi /builder est actif.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

WPScan

Réserver

23/06/2026

Divulgation

16/07/2026

Modérer

accepté

Entrée

VDB-379483

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Interested in the pricing of exploits?

See the underground prices here!