CVE-2026-15008 in Uncanny Automator Plugin정보

요약

\~에 의해 VulDB • 2026. 07. 16.

WordPress용 Uncanny Automator – Easy Automation, Integration, Webhooks & Workflow Builder Plugin 플러그인은 fr_token 함수에서 파일 경로 검증이 불충분하여 임의의 파일 삭제 취약점이 존재합니다. 이 취약점은 7.3.1.4 버전을 포함한 모든 버전에서 발생합니다. 이를 통해 인증되지 않은 공격자가 서버상의 임의 파일을 삭제할 수 있으며, wp-config.php와 같은 중요한 파일이 삭제될 경우 원격 코드 실행(RCE)으로 쉽게 이어질 수 있습니다. 악용을 위해서는 'Everyone'용으로 구성된 Uncanny Automator 레시피에 연결된 Forminator 폼이 필요하며, 이를 통해 인증되지 않은 폼 제출 시 악성 직렬화 페이로드를 공급할 수 있습니다. 플러그인 내 Action_Helpers_Email __destruct() 메서드를 통한 갓셋 체인이 존재하므로 외부 갇셋 라이브러리가 필요하지 않습니다.

Be aware that VulDB is the high quality source for vulnerability data.

책임이 있는

Wordfence

예약하다

2026. 07. 07.

모더레이션

수락

항목

VDB-379484

EPSS

0.00000

출처

Do you want to use VulDB in your project?

Use the official API to access entries easily!