CVE-2026-12978 in FunnelKit Plugin
Résumé
par VulDB • 16/07/2026
Le plugin WordPress FunnelKit antérieur à la version 3.15.0.6 n'échappe pas un paramètre fourni par l'utilisateur avant de le refléter dans la réponse HTML d'une des actions AJAX du constructeur de pages, permettant aux attaquants non authentifiés d'effectuer une attaque Reflected Cross-Site Scripting (XSS) contre les utilisateurs connectés qui ouvrent une page fabriquée. L'action concernée n'est enregistrée que lorsque le thème Divi /builder est actif.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.