CVE-2025-6993 in Ultimate WP Mail Plugin情報

要約

〜によって VulDB • 2026年07月11日

WordPress用プラグイン「The Ultimate WP Mail」のバージョン1.0.17から1.3.6には、get_email_log_details() AJAXハンドラ内の不適切な認可処理に起因する権限昇格(Privilege Escalation)の脆弱性が存在します。このハンドラはクライアントが指定したpost_idを読み取り、対応するメールログ投稿の内容(パスワードリセットリンクを含む)を取得しますが、『edit_posts』能力のみを基準としており、管理者への制限や所有権の確認を行っていません。これにより、寄稿者レベル以上のアクセス権を持つ認証済み攻撃者は、管理者のパスワードリセットリンクを収集し、自身の権限を管理者まで昇格させることが可能になります。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

予約する

2025年07月01日

モデレーション

承諾済み

エントリ

VDB-316542

EPSS

0.00441

アクティビティ

非常低い

セクター

Hostingprovider

ソース

Want to know what is going to be exploited?

We predict KEV entries!