CVE-2026-1937: Kritische Sicherheitslücke in WordPress-Plugin "YayMail – WooCommerce Email Customizer"
⚠️ CVE-Referenzen:
CVE-2026-1937
Zusammenfassung
Das WordPress-Plugin "YayMail – WooCommerce Email Customizer" weist eine kritische Sicherheitslücke auf, die es Nutzern mit Shop-Manager-Rechten ermöglicht, beliebige Einstellungen auf der Website zu ändern. Dadurch können Angreifer sogar Administratorrechte erlangen und die vollständige Kontrolle über die Seite übernehmen. Die Schwachstelle betrifft alle Versionen bis einschließlich 4.3.2 und sollte umgehend behoben werden.
WordPress - Yaymail – WooCommerce Email Customizer - CRITICAL - CVE-2026-1937.
The YayMail – WooCommerce Email Customizer plugin for WordPress is susceptible to unauthorized data modification due to a lack of necessary capability checks on the `yaymail_import_state` AJAX action. This vulnerability affects all versions up to and including 4.3.2, allowing authenticated users with Shop Manager-level access and above to arbitrarily update critical site options. Notably, this can enable malicious actors to alter the default user role settings to administrator, facilitating unauthorized user registration and potential site takeover.
Quelle: securityvulnerability.io