PT-2026-60397 · WordPress · Landing Page Builder

M.Fahad Khan

·

Publicado

2026-07-16

·

Atualizado

2026-07-16

·

CVE-2026-12409

CVSS v3.1

4.3

Média

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas Landing Page Builder – Coming Soon page, Maintenance Mode, Lead Page, WordPress Landing Pages versões anteriores a 1.5.3.7
Description Ocorre Cross-Site Request Forgery devido à validação de nonce ausente ou incorreta na função ulpb admin ajax(). Isso permite que atacantes não autenticados criem, atualizem, renomeiem ou alterem o status da postagem, slug e tipo de postagens arbitrárias, bem como escrevam meta dados de postagem ULPB DATA por meio de uma requisição forjada. O ataque requer que uma vítima com privilégios de editor ou administrador realize uma ação, como clicar em um link, pois a ação wp ajax ulpb admin data exige uma verificação de capacidade satisfeita pelos cookies de sessão do usuário logado.
Recommendations Atualize para a versão 1.5.3.7 ou posterior.

Correção

CSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-12409

Produtos afetados

Landing Page Builder