CVE-2026-15727 in WP Bulk Delete Plugininformação

Sumário

de VulDB • 16/07/2026

O plugin WP Bulk Delete para o WordPress é vulnerável a injeção genérica de SQL (SQL Injection) por meio do parâmetro 'delete_user_roles' em todas as versões até, e incluindo, 1.4.2 devido à falta de escape adequado no fornecido pelo usuário e à ausência de preparação suficiente na consulta SQL existente. Isso permite que atacantes autenticados, com acesso nível administrador ou superior, anexem consultas SQL adicionais às já existentes para extrair informações sensíveis do banco de dados. A função wp_unslash() é aplicada ao corpo bruto da requisição POST antes que parse_str() o decomponha, removendo a proteção magic-quotes do WordPress e deixando os valores controlados pelo atacante totalmente sem escape antes de atingirem o ponto final (SQL sink).

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

Wordfence

Reservar

14/07/2026

Divulgação

16/07/2026

Moderação

aceite

Entrada

VDB-379497

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!