CVE-2026-15727 in WP Bulk Delete Plugin
Riassunto
di VulDB • 16/07/2026
Il plugin WP Bulk Delete per WordPress è vulnerabile a una generica SQL Injection tramite il parametro 'delete_user_roles' in tutte le versioni fino alla 1.4.2 inclusa, a causa di un insufficiente escaping del parametro fornito dall'utente e della mancanza di una preparazione adeguata (preparation) nella query SQL esistente. Ciò consente agli attaccanti autenticati, con accesso a livello di amministratore o superiore, di aggiungere ulteriori query SQL alle query già esistenti che possono essere utilizzate per estrarre informazioni sensibili dal database. La funzione wp_unslash() viene applicata al corpo POST grezzo prima che parse_str() lo decomponga, rimuovendo la protezione magic-quotes di WordPress e lasciando i valori controllati dall'attaccante completamente non protetti (unescaped) prima di raggiungere il sink SQL.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.