CVE-2026-2470
Moderat

CVE-2026-2470: Sårbarhed i WordPress Pagelayer-plugin

WordPress-plugin Pagelayer lader bidragydere manipulere kontaktformularer og sende vilkårlige e-mails — opdater til 2.1.0 eller nyere.

CVSS Score
4.3
Offentliggjort
13/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 7 dage

Hvad er det?

Pagelayer er et populært WordPress-plugin til at bygge hjemmesider med træk-og-slip. En fejl i pluginnet betyder, at brugere med begrænset adgang (fx en bidragyder, der kan skrive indlæg) kan ændre skabeloner for kontaktformularer på siden. Disse skabeloner styrer, hvad der står i de e-mails, som sendes, når besøgende udfylder en formular. Fejlen opstår, fordi pluginnets bagvedliggende kode ikke tjekker grundigt nok, hvem der har lov til at ændre disse indstillinger — og fordi den efterfølgende formularindsendelse sker uden login-krav.

Hvem rammer det?

Sårbarheden rammer alle WordPress-hjemmesider, der bruger Pagelayer-pluginnet i version 2.0.9 eller tidligere, og som har én eller flere brugere med rollen Bidragyder (Contributor) eller højere. Det er særligt relevant, hvis du:

  • Driver en WordPress-hjemmeside med kontaktformular bygget i Pagelayer
  • Har medarbejdere, freelancere eller kunder, der kan logge ind og skrive indlæg
  • Bruger hjemmesiden til at modtage henvendelser fra kunder eller samarbejdspartnere

Hvad kan ske?

En angriber, der kan logge ind som bidragyder, kan ændre indholdet i dine kontaktformular-e-mails, så de indeholder falske budskaber, vildledende links eller spam. Efterfølgende kan hvem som helst — uden at være logget ind — udløse disse e-mails ved at indsende formularen. Det kan føre til:

  • Udsendelse af spam eller phishing-e-mails fra din virksomheds e-mailadresse
  • Skade på din e-mail-omdømmescore (kan betyde, at dine rigtige e-mails havner i spam)
  • Vildledende kommunikation til dine kunder i dit navn
  • Kombineret med CVE-2026-2442 kan angriberen få endnu større kontrol over udgående e-mails

Hvor alvorligt er det?

Sårbarheden er vurderet til 4,3 ud af 10 (Moderat) af det internationale CVSS-system. Det er ikke den mest kritiske type fejl, fordi angriberen skal have et login til din hjemmeside for at udnytte den. Den påvirker heller ikke fortrolighed (dine data stjæles ikke) eller tilgængelighed (siden går ikke ned). Risikoen ligger i, at indholdet på din side og dine e-mails kan manipuleres. Kombineres den med den relaterede sårbarhed CVE-2026-2442, øges det samlede skadepotentiale.

Hvad gør jeg nu?

Følg disse trin for at lukke sårbarheden så hurtigt som muligt:

  1. Opdater Pagelayer-pluginnet til version 2.1.0 eller nyere via dit WordPress-dashboard under Plugins → Opdateringer.
  2. Tjek dine brugerroller: Gennemgå, hvilke brugere der har rollen Bidragyder eller højere, og fjern adgang for dem, der ikke har brug for det.
  3. Kontrollér dine kontaktformular-skabeloner: Log ind i Pagelayer og gennemgå eksisterende e-mailskabeloner for uventede ændringer.
  4. Hold øje med udgående e-mails: Tjek din e-mail-log eller kontakt din webhost for at se, om der er sendt usædvanlige e-mails fra din side.
  5. Opdater også øvrige plugins: Tjek om CVE-2026-2442 også berører plugins på din side, og opdater ligeledes.
Tidsfrist

Opdater inden for 7 dage

Sådan ser Auroa det

Auroa anbefaler, at du opdaterer Pagelayer-pluginnet hurtigst muligt — gerne inden for de næste 7 dage. Selvom fejlen kræver et login for at udnyttes, er det ikke usædvanligt, at WordPress-sider har bidragyder-konti, som kan være kompromitteret eller misbrugt. Gennemgå samtidig dine brugerroller og slet konti, der ikke bruges. Har du brug for hjælp til at sikre din WordPress-installation, er du velkommen til at kontakte os.

Tidslinje

13/06/2026
CVE offentliggjort
Sårbarheden CVE-2026-2470 blev officielt registreret og offentliggjort i NVD (National Vulnerability Database).
13/06/2026
Berørte versioner identificeret
Det blev bekræftet, at alle versioner af Pagelayer op til og med 2.0.9 er sårbare over for fejlen.
13/06/2026
Patch tilgængelig
En opdateret version af Pagelayer-pluginnet blev frigivet med en rettelse af autorisationsfejlen. Brugere opfordres til straks at opdatere.
13/06/2026
Relateret CVE-2026-2442 afsløret
Det blev offentliggjort, at CVE-2026-2470 kan kombineres med CVE-2026-2442 for at øge angrebets omfang og give angribere større kontrol over udgående e-mails.

Konkrete eksempler

Bidragyder ændrer kontaktformular-skabelon

En freelance-skribent, der har fået Bidragyder-adgang til din WordPress-side for at skrive blogindlæg, udnytter fejlen til at ændre din kontaktformulars e-mailskabelon. Skabelonen ændres, så alle fremtidige formularindsendelser resulterer i e-mails med et falsk budskab eller et phishing-link — sendt fra din virksomheds e-mailadresse til den besøgende, der udfyldte formularen.

Uautoriseret masse-spam fra din e-mailadresse

En angriber kompromitterer en gammel og glemt Bidragyder-konto på din hjemmeside. Vedkommende ændrer kontaktformularens skabelon til at udsende spam-indhold. Derefter udløser angriberen formularen gentagne gange uden at være logget ind, hvilket resulterer i, at din e-mailadresse sender hundredvis af spam-e-mails. Det kan føre til, at din domæne-e-mail havner på en sortliste (blocklist), og at dine rigtige e-mails til kunder ikke leveres.

Kombineret angreb med CVE-2026-2442

En angriber udnytter først CVE-2026-2470 til at ændre e-mailskabelonens indhold og derefter CVE-2026-2442 til at manipulere, hvem e-mailen sendes til eller fra. Resultatet er, at e-mails fra din kontaktformular tilsyneladende kommer fra en betroet afsender (fx din bank eller en myndighed) og indeholder falske instruktioner til dine kunder — et klassisk phishing-scenarie i dit navn.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
NONE
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

CWE-svaghedstyper

CWE-863

Original NVD-beskrivelse (engelsk)

The Page Builder: Pagelayer – Drag and Drop website builder plugin for WordPress is vulnerable to Incorrect Authorization in all versions up to, and including, 2.0.9. This is due to the pagelayer_save_content AJAX handler allowing users with basic post-edit capability to persist pagelayer_contact_templates metadata on posts they can edit (including pending posts), while the unauthenticated pagelayer_contact_submit endpoint later consumes that metadata by user-controlled post/form identifiers without enforcing a privileged or published-context boundary. This makes it possible for authenticated attackers, with Contributor-level access and above, to configure arbitrary contact-form mail templates that are usable through unauthenticated form submission via the contacts parameter. In typical deployments this template feature is configured via Pagelayer Pro UI; however, the vulnerable backend trust path is still present. This issue may be chained with CVE-2026-2442 to increase exploitability and attacker control over outbound email behavior.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
4.3
Visning
Hurtige fakta
CVE-ID
CVE-2026-2470
Offentliggjort
13/06/2026
Sidst opdateret
13/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.