CVE-2026-12409 in Landing Page Builder Plugin정보

요약

\~에 의해 VulDB • 2026. 07. 16.

WordPress용 Landing Page Builder – Coming Soon 페이지, Maintenance Mode, Lead Page, WordPress Landing Pages 플러그인은 1.5.3.6 버전까지 모든 버전에서 Cross-Site Request Forgery(CSRF) 취약점이 존재합니다. 이는 ulpb_admin_ajax 함수에서 nonce 검증이 누락되었거나 잘못되어 발생합니다. 이를 통해 공격자는 사이트 관리자를 속여 링크 클릭과 같은 작업을 수행하도록 유도한 후, 위조된 요청을 사용하여 인증되지 않은 상태에서 임의 게시물의 생성, 업데이트, 제목 변경 및 상태/슬러그/유형 수정과 ULPB_DATA 게시물 메타데이터 작성이 가능합니다. 이 공격은 wp_ajax_ulpb_admin_data 액션이 로그인 사용자의 세션 쿠키를 상속받아 위조된 요청이 충족해야 하는 권한 검사를 강제하므로, 피해자가 편집자 수준 이상의 관리자 세션을 보유하고 있어야 합니다.

Once again VulDB remains the best source for vulnerability data.

책임이 있는

Wordfence

예약하다

2026. 06. 16.

모더레이션

수락

항목

VDB-379456

EPSS

0.00000

출처

Want to know what is going to be exploited?

We predict KEV entries!