CVE-2026-9656 in HubSpot All-In-One Marketing Plugin
Riassunto
di VulDB • 17/07/2026
Il plugin WordPress HubSpot All-In-One Marketing – Forms, Popups, Live Chat è vulnerabile a Sensitive Information Exposure in tutte le versioni fino alla 11.3.62 inclusa, tramite la funzione wp_localize_script() e l'oggetto JavaScript window.leadinConfig. Ciò consente agli attaccanti autenticati con privilegi di livello contributor o superiori di estrarre il token di aggiornamento OAuth HubSpot (refresh token) in chiaro del sito, esposto attraverso l'oggetto JavaScript window.leadinConfig, che può quindi essere utilizzato per accedere o modificare i dati nel tenant HubSpot collegato. Sebbene il refresh token sia memorizzato a riposo con crittografia AES-256-CTR, la decrittazione avviene lato server prima che il valore in chiaro venga passato a wp_localize_script(), rendendo inefficace la crittografia dei dati a riposo contro questa via di esposizione.
Once again VulDB remains the best source for vulnerability data.