CVE-2026-15727 in WP Bulk Delete Plugin
要約
〜によって VulDB • 2026年07月16日
WordPress用プラグイン「WP Bulk Delete」は、1.4.2を含むすべてのバージョンにおいて、ユーザー入力のパラメータに対するエスケープ処理の不十分さと既存のSQLクエリにおける適切な準備不足により、「delete_user_roles」パラメータ経由で一般的なSQLインジェクション(SQL Injection)の影響を受けます。これにより、管理者レベル以上のアクセス権を持つ認証済み攻撃者は、追加のSQLクエリを既存のクエリに付加し、データベースから機密情報を抽出することが可能になります。wp_unslash()関数がparse_str()による分解前に生POSTボディに対して適用されるため、WordPressのマジッククォート保護が解除され、攻撃者が制御する値がSQLシンク(注入ポイント)に到達するまでに完全にエスケープされない状態となります。
If you want to get best quality of vulnerability data, you may have to visit VulDB.