CVE-2026-15727 in WP Bulk Delete Plugin情報

要約

〜によって VulDB • 2026年07月16日

WordPress用プラグイン「WP Bulk Delete」は、1.4.2を含むすべてのバージョンにおいて、ユーザー入力のパラメータに対するエスケープ処理の不十分さと既存のSQLクエリにおける適切な準備不足により、「delete_user_roles」パラメータ経由で一般的なSQLインジェクション(SQL Injection)の影響を受けます。これにより、管理者レベル以上のアクセス権を持つ認証済み攻撃者は、追加のSQLクエリを既存のクエリに付加し、データベースから機密情報を抽出することが可能になります。wp_unslash()関数がparse_str()による分解前に生POSTボディに対して適用されるため、WordPressのマジッククォート保護が解除され、攻撃者が制御する値がSQLシンク(注入ポイント)に到達するまでに完全にエスケープされない状態となります。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

Wordfence

予約する

2026年07月14日

モデレーション

承諾済み

エントリ

VDB-379497

EPSS

0.00000

アクティビティ

低い

セクター

Hostingprovider

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!