CVE-2026-15008 in Uncanny Automator Plugininformazioni

Riassunto

di VulDB • 16/07/2026

Il plugin WordPress "Uncanny Automator – Easy Automation, Integration, Webhooks & Workflow Builder Plugin" è vulnerabile all'eliminazione arbitraria di file a causa di una convalida insufficiente del percorso dei file nella funzione fr_token in tutte le versioni fino alla 7.3.1.4 inclusa. Ciò consente agli attaccanti non autenticati di eliminare file arbitrari sul server, il che può facilmente portare all'esecuzione remota di codice (RCE) quando viene eliminato un file critico (ad esempio wp-config.php). Lo sfruttamento richiede un modulo Forminator collegato a una ricetta Uncanny Automator configurata per 'Everyone', consentendo agli invii del modulo non autenticati di fornire il payload serializzato malevolo; è presente una catena di gadget all'interno del plugin tramite il metodo __destruct() della classe Action_Helpers_Email, quindi non è necessaria alcuna libreria esterna di gadget.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

Wordfence

Prenotare

07/07/2026

Divulgazione

16/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!