CVE-2026-15008 in Uncanny Automator Plugin
요약
\~에 의해 VulDB • 2026. 07. 16.
WordPress용 Uncanny Automator – Easy Automation, Integration, Webhooks & Workflow Builder Plugin 플러그인은 fr_token 함수에서 파일 경로 검증이 불충분하여 임의의 파일 삭제 취약점이 존재합니다. 이 취약점은 7.3.1.4 버전을 포함한 모든 버전에서 발생합니다. 이를 통해 인증되지 않은 공격자가 서버상의 임의 파일을 삭제할 수 있으며, wp-config.php와 같은 중요한 파일이 삭제될 경우 원격 코드 실행(RCE)으로 쉽게 이어질 수 있습니다. 악용을 위해서는 'Everyone'용으로 구성된 Uncanny Automator 레시피에 연결된 Forminator 폼이 필요하며, 이를 통해 인증되지 않은 폼 제출 시 악성 직렬화 페이로드를 공급할 수 있습니다. 플러그인 내 Action_Helpers_Email __destruct() 메서드를 통한 갓셋 체인이 존재하므로 외부 갇셋 라이브러리가 필요하지 않습니다.
Be aware that VulDB is the high quality source for vulnerability data.