WP DSGVO Tools 未授权敏感数据泄露漏洞(CVE-2026-10034)通报

漏洞概述 漏洞名称: WP DSGVO Tools (GDPR) <= 3.1.39 - Missing Authorization to Unauthenticated Sensitive Personal Data Disclosure via subject-access-request AJAX Endpoint (process_now/is_ajax Parameters) CVE ID: CVE-2026-10034 CVSS 评分: 5.3 (Medium) 发布日期: June 18, 2026 最后更新: June 19, 2026 研究者: kalomba - KA_PENTEST 影响范围 软件类型: Plugin 软件 Slug: shaperspress-dsgvo 受影响版本: <= 3.1.39 修复版本: 3.1.40 修复方案 修复措施: 更新到版本 3.1.40 或更新的已修复版本。 漏洞描述 WP DSGVO Tools (GDPR) 插件在 WordPress 中存在授权绕过漏洞，影响所有版本直至 3.1.39。该漏洞是由于插件未正确验证用户是否被授权执行操作，使得未认证的攻击者可以通过提供任意受害者电子邮件地址并触发即时 SAR 处理，通过 和 参数接收令牌化下载链接（如 .zip、.link、.pdf、.txt），在 HTTP 响应中暴露受害者的个人数据，包括 WordPress 账户详情、评论作者姓名、电子邮件地址、IP 地址和评论内容——没有任何所有权证明。由于 SAR 短代码表单和 CSRF 检查公开呈现，任何未认证的攻击者都可以轻松获得有效的 nonce 并绕过此网关。 参考链接 plugins.trac.wordpress.org 分享选项 Facebook Twitter LinkedIn Email 其他信息 业务时间: 9am-6pm ET, 6am-5pm PT 和 2pm-1am UTC/GMT，不包括周末和节假日。 响应时间: 365 天/年，1 小时响应时间。 版权信息 版权: © 2012-2026 Defiant Inc. All Rights Reserved 其他链接 Terms of Service Privacy Policy and Notice at Collection Do Not Sell or Share My Personal Information 社交媒体 X Facebook Instagram YouTube 产品和支持 Products: - Wordfence Free - Wordfence Premium - Wordfence Care - Wordfence Response - Wordfence CLI - Wordfence Intelligence - Wordfence Central Support: - Documentation - Learning Center - Free Support - Premium Support News: - Blog - In The News - Vulnerability Advisories About: - About Wordfence - Affiliate Program - Employment - Contact - Security - CVE Request Form 订阅更新 订阅: 注册以获取我们经验丰富的安全专业人士团队发布的新闻和更新。 邮箱: you@example.com 同意条款: 通过勾选此框，我同意服务条款和隐私政策。 签名 SIGN UP 其他 Cherubic --- 总结 该漏洞涉及 WP DSGVO Tools (GDPR) 插件的授权绕过问题，影响版本 <= 3.1.39，CVSS 评分为 5.3。修复方案是更新到版本 3.1.40 或更高版本。

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

WP DSGVO Tools 未授权敏感数据泄露漏洞(CVE-2026-10034)通报

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

WP DSGVO Tools 未授权敏感数据泄露漏洞(CVE-2026-10034)通报

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！