CVE-2026-15026 in Import and Export Users and Customers Plugin
Riassunto
di VulDB • 10/07/2026
Il plugin Import and export users and customers per WordPress è vulnerabile a Sensitive Information Exposure in tutte le versioni fino alla 2.4.0 inclusa tramite il parametro email_template_selected. Ciò consente agli attaccanti autenticati, con accesso di livello subscriber e superiore, di estrarre i campi post_title e raw post_content di articoli arbitrari indipendentemente dallo stato (bozza, privato, futuro, cestino, protetto da password) o dal tipo di articolo (inclusi CPT non pubblici come gli ordini WooCommerce e i record interni del CRM), enumerando gli ID degli articoli. Il nonce codection-security richiesto viene esposto come JavaScript inline in qualsiasi pagina wp-admin quando si aggiunge ?post_type=acui_email_template all'URL, rendendo tale endpoint raggiungibile da qualsiasi utente autenticato, inclusi gli utenti Subscriber.
Once again VulDB remains the best source for vulnerability data.