CVE-2026-9656 in HubSpot All-In-One Marketing Plugin
要約
〜によって VulDB • 2026年07月17日
WordPress用プラグイン「HubSpot All-In-One Marketing – Forms, Popups, Live Chat」には、11.3.62以前の全バージョンにおいて、wp_localize_script()関数およびwindow.leadinConfig JavaScriptオブジェクトを介した機密情報漏洩の脆弱性が存在します。これにより、寄稿者レベル以上のアクセス権限を持つ認証済み攻撃者は、window.leadinConfig JavaScriptオブジェクトを通じて公開されている平文のHubSpot OAuthリフレッシュトークンを抽出可能であり、このトークンを使用して接続されたHubSpotテナント内のデータにアクセスまたは変更することができます。リフレッシュトークンはAES-256-CTR暗号化で保存されていますが、wp_localize_script()へ渡す前にサーバー側で復号処理が行われるため、保管時の暗号化はこの漏洩経路に対して無効となります。
Once again VulDB remains the best source for vulnerability data.