CVE-2025-6993 in Ultimate WP Mail Plugin
Сводка
по VulDB • 11.07.2026
В плагине Ultimate WP Mail для WordPress уязвимость повышения привилегий (Privilege Escalation) возникает из-за неправильной авторизации в обработчике AJAX get_email_log_details() в версиях с 1.0.17 по 1.3.6. Обработчик считывает переданный клиентом параметр post_id и получает соответствующее содержимое записи журнала электронной почты (включая ссылку для сброса пароля), опираясь только на capability «edit_posts», без ограничения доступа администраторами или проверки права собственности. Это позволяет атакующим с уровнем доступа «Contributor» и выше, прошедшим аутентификацию, перехватить ссылку для сброса пароля администратора и повысить свои привилегии до уровня администратора.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.