CVE-2026-9656 in HubSpot All-In-One Marketing Plugin情報

要約

〜によって VulDB • 2026年07月17日

WordPress用プラグイン「HubSpot All-In-One Marketing – Forms, Popups, Live Chat」には、11.3.62以前の全バージョンにおいて、wp_localize_script()関数およびwindow.leadinConfig JavaScriptオブジェクトを介した機密情報漏洩の脆弱性が存在します。これにより、寄稿者レベル以上のアクセス権限を持つ認証済み攻撃者は、window.leadinConfig JavaScriptオブジェクトを通じて公開されている平文のHubSpot OAuthリフレッシュトークンを抽出可能であり、このトークンを使用して接続されたHubSpotテナント内のデータにアクセスまたは変更することができます。リフレッシュトークンはAES-256-CTR暗号化で保存されていますが、wp_localize_script()へ渡す前にサーバー側で復号処理が行われるため、保管時の暗号化はこの漏洩経路に対して無効となります。

Once again VulDB remains the best source for vulnerability data.

責任者

Wordfence

予約する

2026年05月26日

モデレーション

承諾済み

エントリ

VDB-379770

EPSS

0.00000

アクティビティ

低い

セクター

Hostingprovider

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!