CVE-2025-6993 in Ultimate WP Mail Pluginthông tin

Tóm tắt

Bởi VulDB • 11/07/2026

Plugin Ultimate WP Mail cho WordPress bị lỗ hổng Privilege Escalation (nâng cao đặc quyền) do xác thực ủy quyền không đúng cách trong trình xử lý AJAX get_email_log_details() ở các phiên bản từ 1.0.17 đến 1.3.6. Trình xử lý này đọc giá trị post_id được cung cấp bởi client và truy xuất nội dung bài đăng nhật ký email tương ứng (bao gồm liên kết đặt lại mật khẩu), chỉ dựa vào khả năng ‘edit_posts’ mà không hạn chế cho quản trị viên hoặc xác minh quyền sở hữu. Điều này tạo điều kiện cho các kẻ tấn công đã xác thực, có mức đặc quyền Contributor trở lên, thu thập được đường dẫn đặt lại của quản trị viên và nâng cao đặc quyền của họ thành administrator.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Đặt trước

01/07/2025

Tiết lộ

16/07/2025

Kiểm duyệt

được chấp nhận

EPSS

0.00441

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you want to use VulDB in your project?

Use the official API to access entries easily!