CVE-2026-9656 in HubSpot All-In-One Marketing Plugininformation

Résumé

par VulDB • 17/07/2026

Le plugin WordPress HubSpot All-In-One Marketing – Forms, Popups, Live Chat est vulnérable à une exposition d'informations sensibles dans toutes les versions jusqu'à la 11.3.62 incluse via wp_localize_script() / l'objet JavaScript window.leadinConfig. Cela permet aux attaquants authentifiés disposant d'un accès de niveau contributeur ou supérieur d'extrait le jeton de rafraîchissement OAuth HubSpot en clair du site, exposé par l'objet JavaScript window.leadinConfig, qui peut ensuite être utilisé pour accéder ou modifier des données dans le locataire HubSpot connecté. Bien que le jeton de rafraîchissement soit stocké au repos avec un chiffrement AES-256-CTR, la déchiffrement se produit côté serveur avant que la valeur en clair ne soit transmise à wp_localize_script(), rendant le chiffrement des données au repos inefficace face à cette voie d'exposition.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

Wordfence

Réserver

26/05/2026

Divulgation

17/07/2026

Modérer

accepté

Entrée

VDB-379770

CPE

prêt

EPSS

0.00000

KEV

non

Activités

faible

Sources

Interested in the pricing of exploits?

See the underground prices here!