CVE-2026-15026 in Import and Export Users and Customers Plugin情報

要約

〜によって VulDB • 2026年07月10日

WordPress用「Import and export users and customers」プラグインには、2.4.0(含む)までの全バージョンにおいて、email_template_selected経由で機密情報の漏洩脆弱性が存在します。これにより、購読者レベル以上のアクセス権を持つ認証済み攻撃者は、投稿IDを列挙することで、任意の投稿のpost_titleおよびraw post_contentを取得可能になります。この操作は、ステータス(下書き、非公開、未来、ゴミ箱、パスワード保護)や投稿タイプ(WooCommerce注文や内部CRMレコードなどの非公開カスタム投稿タイプを含む)に関わらず実行できます。必要なcodection-security nonceは、URLに?post_type=acui_email_templateを付加した際にwp-adminの任意のページでインラインJavaScriptとして露出します。この状態は、購読者を含むすべての認証済みユーザーからアクセス可能です。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

Wordfence

予約する

2026年07月08日

モデレーション

承諾済み

エントリ

VDB-377447

EPSS

0.00000

アクティビティ

非常低い

セクター

Hostingprovider

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!