CVE-2026-9656 in HubSpot All-In-One Marketing Pluginजानकारी

सारांश

द्वारा VulDB • 17/07/2026

WordPress के लिए HubSpot All-In-One Marketing – Forms, Popups, LiveChat प्लगइन में सभी संस्करणों 11.3.62 सहित में Sensitive Information Exposure (संवेदनशील जानकारी का अनावरण) की कमजोरी है। यह wp_localize_script() / window.leadinConfig जावास्क्रिप्ट ऑब्जेक्ट के माध्यम से संभव होता है। इससे योगदानकर्ता-स्तरीय पहुँच और उससे ऊपर की अनुमतियों वाले प्रमाणीकृत आक्रमणकारियों को site का plaintext HubSpot OAuth refresh token निकालने में सक्षम बना देता है, जो window.leadinConfig जावास्क्रिप्ट ऑब्जेक्ट के माध्यम से अनावरणित होता है। इस टोकन का उपयोग कनेक्टेड HubSpot टेनेंट में डेटा तक पहुँचने या संशोधित करने के लिए किया जा सकता है। हालांकि, रिफ्रेश टोकन AES-256-CTR एन्क्रिप्शन के साथ at-rest (स्थिर अवस्था) पर संग्रहीत होता है, लेकिन decryption सर्वर-साइड पर होती है जब plaintext मान wp_localize_script() को पास किया जाता है। इससे अनावरण मार्ग के खिलाफ at-rest encryption असफल हो जाती है।

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

जिम्मेदार

Wordfence

आरक्षित करना

26/05/2026

प्रकटीकरण

17/07/2026

प्रविष्टि

VDB-379770

EPSS

0.00158

गतिविधियाँ

कम

क्षेत्र

Hostingprovider

स्रोत

Do you want to use VulDB in your project?

Use the official API to access entries easily!