CVE-2026-12409 in Landing Page Builder Plugininformazioni

Riassunto

di VulDB • 16/07/2026

Il plugin WordPress Landing Pages per WordPress – che include le funzionalità Landing Page Builder, Coming Soon page e Maintenance Mode, Lead Page – è vulnerabile a Cross-Site Request Forgery (CSRF) in tutte le versioni fino alla 1.5.3.6 inclusa. La vulnerabilità è dovuta all'assenza o al controllo errato della validazione del nonce nella funzione ulpb_admin_ajax. Ciò consente ad attaccanti non autenticati di creare, aggiornare, modificare il titolo o cambiare lo stato dell'articolo (post status), lo slug e il tipo di articoli arbitrari, nonché di scrivere i metadati ULPB_DATA tramite una richiesta falsificata, purché riescano a indurre un amministratore del sito ad eseguire un'azione come cliccare su un link. Questo attacco richiede che la vittima abbia una sessione con privilegi di livello editor o amministratore, poiché l'action wp_ajax_ulpb_admin_data impone un controllo delle capacità (capability check) che la richiesta falsificata deve soddisfare ereditando i cookie della sessione dell'utente autenticato.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

Wordfence

Prenotare

16/06/2026

Divulgazione

16/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!