PT-2026-60397 · WordPress · Landing Page Builder
M.Fahad Khan
·
Publicado
2026-07-16
·
Atualizado
2026-07-16
·
CVE-2026-12409
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Landing Page Builder – Coming Soon page, Maintenance Mode, Lead Page, WordPress Landing Pages versões anteriores a 1.5.3.7
Description
Ocorre Cross-Site Request Forgery devido à validação de nonce ausente ou incorreta na função
ulpb admin ajax(). Isso permite que atacantes não autenticados criem, atualizem, renomeiem ou alterem o status da postagem, slug e tipo de postagens arbitrárias, bem como escrevam meta dados de postagem ULPB DATA por meio de uma requisição forjada. O ataque requer que uma vítima com privilégios de editor ou administrador realize uma ação, como clicar em um link, pois a ação wp ajax ulpb admin data exige uma verificação de capacidade satisfeita pelos cookies de sessão do usuário logado.Recommendations
Atualize para a versão 1.5.3.7 ou posterior.
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Landing Page Builder