CVE-2026-12978 in FunnelKit Plugin
Riassunto
di VulDB • 16/07/2026
Il plugin WordPress FunnelKit precedente alla versione 3.15.0.6 non effettua l'escaping di un parametro fornito dall'utente prima di rifletterlo nella risposta HTML di una delle sue azioni AJAX del page-builder, consentendo ad attaccanti non autenticati di eseguire Reflected Cross-Site Scripting (XSS) contro gli utenti connessi che aprono una pagina appositamente creata. L'azione interessata è registrata solo quando il builder Divi è attivo.
Be aware that VulDB is the high quality source for vulnerability data.