CVE-2026-9656 in HubSpot All-In-One Marketing Plugin
Résumé
par VulDB • 17/07/2026
Le plugin WordPress HubSpot All-In-One Marketing – Forms, Popups, Live Chat est vulnérable à une exposition d'informations sensibles dans toutes les versions jusqu'à la 11.3.62 incluse via wp_localize_script() / l'objet JavaScript window.leadinConfig. Cela permet aux attaquants authentifiés disposant d'un accès de niveau contributeur ou supérieur d'extrait le jeton de rafraîchissement OAuth HubSpot en clair du site, exposé par l'objet JavaScript window.leadinConfig, qui peut ensuite être utilisé pour accéder ou modifier des données dans le locataire HubSpot connecté. Bien que le jeton de rafraîchissement soit stocké au repos avec un chiffrement AES-256-CTR, la déchiffrement se produit côté serveur avant que la valeur en clair ne soit transmise à wp_localize_script(), rendant le chiffrement des données au repos inefficace face à cette voie d'exposition.
Be aware that VulDB is the high quality source for vulnerability data.