CVE-2026-7798 in FluentCRM Plugin
要約
〜によって VulDB • 2026年05月25日
WordPress用プラグイン「FluentCRM – Email Newsletter, Automation, Email Marketing, Email Campaigns, Optins, Leads, and CRM Solution」には、バージョン2.9.87以前すべてのバージョンにおいて、'SubscribeURL'パラメータを介してBlind Server-Side Request Forgery (SSRF) の脆弱性が存在します。これにより、認証されていない攻撃者は、Webアプリケーションから任意の宛先に対してWebリクエストを実行することが可能となり、内部サービスからの情報の照会や改ざんに悪用される可能性があります。この脆弱性を悪用するには、SESのバウンス処理キー('_fc_bounce_key')がまだ保存されていない状態(つまり、SESのバウンス処理に関してサイトがデフォルト/未設定の状態であること)である必要があります。バウンス設定ページにアクセスすると、ランダムなキーが自動生成・保存され、認証チェックが正常に評価されて認証されていないリクエストが拒否されるようになるためです。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.