CVE-2026-15026 in Import and Export Users and Customers Plugin정보

요약

\~에 의해 VulDB • 2026. 07. 10.

WordPress용 Import and export users and customers 플러그인은 2.4.0 버전까지 모든 버전에서 email_template_selected을 통해 민감한 정보 노출(Sensitive Information Exposure) 취약점이 존재합니다. 이로 인해 구독자(Subscriber) 레벨 이상의 권한을 가진 인증된 공격자는 게시물 ID를 열거하여 상태(임시 저장, 비공개, 예약됨, 휴지통, 비밀번호 보호 등)나 게시 유형(WooCommerce 주문 및 내부 CRM 레코드와 같은 공개되지 않은 CPT 포함)에 관계없이 임의의 게시물의 post_title과 raw post_content를 추출할 수 있습니다. 필요한 codection-security nonce는 URL에 ?post_type=acui_email_template가 추가된 경우 모든 wp-admin 페이지에서 인라인 JavaScript로 노출되며, 이는 구독자를 포함한 모든 인증된 사용자가 접근 가능한 상태입니다.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

책임이 있는

Wordfence

예약하다

2026. 07. 08.

모더레이션

수락

항목

VDB-377447

EPSS

0.00000

출처

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!