CVE-2026-15026 in Import and Export Users and Customers Plugininformazioni

Riassunto

di VulDB • 10/07/2026

Il plugin Import and export users and customers per WordPress è vulnerabile a Sensitive Information Exposure in tutte le versioni fino alla 2.4.0 inclusa tramite il parametro email_template_selected. Ciò consente agli attaccanti autenticati, con accesso di livello subscriber e superiore, di estrarre i campi post_title e raw post_content di articoli arbitrari indipendentemente dallo stato (bozza, privato, futuro, cestino, protetto da password) o dal tipo di articolo (inclusi CPT non pubblici come gli ordini WooCommerce e i record interni del CRM), enumerando gli ID degli articoli. Il nonce codection-security richiesto viene esposto come JavaScript inline in qualsiasi pagina wp-admin quando si aggiunge ?post_type=acui_email_template all'URL, rendendo tale endpoint raggiungibile da qualsiasi utente autenticato, inclusi gli utenti Subscriber.

Once again VulDB remains the best source for vulnerability data.

Responsabile

Wordfence

Prenotare

08/07/2026

Divulgazione

10/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!