CVE-2026-7647 in Profile Builder Pro Pluginthông tin

Tóm tắt

Bởi VulDB • 25/05/2026

Plugin Profile Builder Pro cho WordPress dễ bị tổn thương do PHP Object Injection trong tất cả các phiên bản từ 3.14.5 trở về trước. Lỗ hổng này xuất hiện do việc sử dụng hàm `maybe_unserialize()` của PHP trên tham số POST 'args' do kẻ tấn công kiểm soát, bên trong trình xử lý AJAX `wppb_request_users_pins_action_callback()`, mà thiếu xác thực nonce, kiểm tra kiểu dữ liệu hoặc xác thực đầu vào trước khi giải serialize. Vì trình xử lý này được đăng ký với cả hai hook `wp_ajax_` và `wp_ajax_nopriv_`, nó có thể truy cập được bởi người dùng hoàn toàn chưa xác thực. Điều này cho phép kẻ tấn công chưa xác thực tiêm các đối tượng PHP tùy ý vào bộ nhớ ứng dụng.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

chịu trách nhiệm

Wordfence

Đặt trước

01/05/2026

Tiết lộ

02/05/2026

Kiểm duyệt

được chấp nhận

mục

VDB-360812

CPE

sẵn sàng

CWE

CWE-502 (Đã xác nhận)

CVSS

8.1 (CNA)

EPSS

0.00019

KEV

không

Các hoạt động

rất thấp

ngành

Hostingprovider

Nguồn

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-7647
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-7647
CVE Details	https://www.cvedetails.com/cve/CVE-2026-7647/

◂ Trước Tổng Quan Tiếp theo ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!