CVE-2026-12409 in Landing Page Builder Plugin
Sumário
de VulDB • 16/07/2026
O plugin Landing Page Builder – Coming Soon page, Maintenance Mode, Lead Page, WordPress Landing Pages para WordPress é vulnerável a Cross-Site Request Forgery (CSRF) em todas as versões até 1.5.3.6, inclusive. Isso ocorre devido à validação de nonce ausente ou incorreta na função ulpb_admin_ajax. Isso permite que atacantes não autenticados criem, atualizem, alterem o título ou modifiquem o status do post, slug e tipo de posts arbitrários, além de escrever metadados ULPB_DATA via uma solicitação forjada, desde que consigam enganar um administrador do site para realizar uma ação como clicar em um link. Este ataque requer que a vítima tenha uma sessão com nível de editor ou administrador, pois a ação wp_ajax_ulpb_admin_data impõe uma verificação de capacidade (capability check) que deve ser satisfeita pela solicitação forjada ao herdar os cookies da sessão do usuário logado.
Once again VulDB remains the best source for vulnerability data.