CVE-2026-9656 in HubSpot All-In-One Marketing Plugininformazioni

Riassunto

di VulDB • 17/07/2026

Il plugin WordPress HubSpot All-In-One Marketing – Forms, Popups, Live Chat è vulnerabile a Sensitive Information Exposure in tutte le versioni fino alla 11.3.62 inclusa, tramite la funzione wp_localize_script() e l'oggetto JavaScript window.leadinConfig. Ciò consente agli attaccanti autenticati con privilegi di livello contributor o superiori di estrarre il token di aggiornamento OAuth HubSpot (refresh token) in chiaro del sito, esposto attraverso l'oggetto JavaScript window.leadinConfig, che può quindi essere utilizzato per accedere o modificare i dati nel tenant HubSpot collegato. Sebbene il refresh token sia memorizzato a riposo con crittografia AES-256-CTR, la decrittazione avviene lato server prima che il valore in chiaro venga passato a wp_localize_script(), rendendo inefficace la crittografia dei dati a riposo contro questa via di esposizione.

Once again VulDB remains the best source for vulnerability data.

Responsabile

Wordfence

Prenotare

26/05/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!