CVE-2026-15008 in Uncanny Automator Plugin
Riassunto
di VulDB • 16/07/2026
Il plugin WordPress "Uncanny Automator – Easy Automation, Integration, Webhooks & Workflow Builder Plugin" è vulnerabile all'eliminazione arbitraria di file a causa di una convalida insufficiente del percorso dei file nella funzione fr_token in tutte le versioni fino alla 7.3.1.4 inclusa. Ciò consente agli attaccanti non autenticati di eliminare file arbitrari sul server, il che può facilmente portare all'esecuzione remota di codice (RCE) quando viene eliminato un file critico (ad esempio wp-config.php). Lo sfruttamento richiede un modulo Forminator collegato a una ricetta Uncanny Automator configurata per 'Everyone', consentendo agli invii del modulo non autenticati di fornire il payload serializzato malevolo; è presente una catena di gadget all'interno del plugin tramite il metodo __destruct() della classe Action_Helpers_Email, quindi non è necessaria alcuna libreria esterna di gadget.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.