CVE-2026-12407
Alvorlig

CVE-2026-12407: Kritisk fejl i WordPress E2Pdf-plugin

WordPress-plugin E2Pdf lader brugere med lav adgang overtage hele hjemmesiden ved at ændre skjulte systemindstillinger.

CVSS Score
8.8
Offentliggjort
18/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden 48 timer

Hvad er det?

WordPress-pluginnet E2Pdf – Export Pdf Tool (version 1.32.26 og tidligere) har en fejl i sin adgangskontrol. En funktion i pluginnet, der håndterer skærmindstillinger, mangler en korrekt kontrol af, om brugeren har lov til at foretage ændringer. Det betyder, at en angriber kan sende en særlig forespørgsel til hjemmesiden og overskrive WordPress-systemindstillinger — herunder hvilken rolle nye brugere automatisk får tildelt. Det kan bruges til at give sig selv administratoradgang. Fejltypen hedder teknisk Missing Authorization (manglende autorisationstjek), og den er registreret som CVE-2026-12407 med en CVSS-score på 8.8 ud af 10.

Hvem rammer det?

Sårbarheden rammer alle WordPress-hjemmesider, der kører E2Pdf-pluginnet i version 1.32.26 eller tidligere, og hvor en administrator har givet én eller flere brugere rettigheden e2pdf_templates via pluginnets eget rettighedsstyringspanel. Det er særligt relevant, hvis din hjemmeside har:

  • Abonnenter, bidragydere, forfattere eller redaktører med adgang til E2Pdf-funktioner
  • Et webshop- eller medlemssite, hvor mange brugere kan oprette sig selv
  • En opsætning med flere medarbejdere eller freelancere med begrænset adgang

Har ingen andre end administratorer adgang til pluginnet, er risikoen lavere — men du bør stadig opdatere.

Hvad kan ske?

En angriber, der har en brugerkonto på din hjemmeside og er tildelt den nævnte rettighed, kan:

  • Eskalere sine egne rettigheder til administrator — eksempelvis ved at ændre indstillingen for standardrolle, så nye brugere automatisk oprettes som administratorer
  • Overtage hele hjemmesiden — med administratoradgang kan angriberen installere malware, oprette bagdøre, stjæle kundedata eller slette indhold
  • Ændre andre kritiske systemindstillinger — da der ikke er nogen begrænsning på hvilke WordPress-indstillinger der kan overskrives

Angrebet kræver, at angriberen allerede har en brugerkonto og den specifikke rettighed. Det lyder begrænset, men i praksis kan selv en utilfreds tidligere medarbejder eller en kompromitteret medarbejderkonto udgøre en reel trussel.

Hvor alvorligt er det?

Sårbarheden er vurderet til 8.8 ud af 10 (Alvorlig) efter den internationale CVSS-skala. Det skyldes:

  • Angrebet kan udføres over internettet uden fysisk adgang
  • Det kræver kun et lavt rettighedsniveau — altså en almindelig brugerkonto
  • Angrebet er nemt at udføre og kræver ingen særlig teknisk ekspertise
  • Konsekvensen er fuld kontrol over fortrolighed, integritet og tilgængelighed af din hjemmeside

Det eneste, der forhindrer karakteren i at være endnu højere, er, at angriberen skal have en eksisterende brugerkonto med en specifik rettighed.

Hvad gør jeg nu?

Følg disse trin hurtigst muligt — gerne inden for de næste 24-48 timer:

  1. Opdater E2Pdf-pluginnet til den nyeste version via WordPress-dashboardet under Plugins → Tilgængelige opdateringer.
  2. Gennemgå brugerroller: Gå til E2Pdf’s rettighedspanel og fjern rettigheden e2pdf_templates fra alle roller, der ikke har et reelt behov for den — særligt Abonnent, Bidragyder og Forfatter.
  3. Tjek WordPress-brugerlistens roller under Brugere i dashboardet. Er der nogen, der uventet er blevet administrator? Nedgrader dem øjeblikkeligt og skift adgangskoder.
  4. Kontrollér indstillingen for standardrolle under Indstillinger → Generelt → Ny brugers standardrolle — den bør typisk stå på Abonnent, ikke Administrator.
  5. Gennemgå aktivitetsloggen (hvis du har et logningsplugin) for mistænkelig aktivitet de seneste uger.
Tidsfrist

Opdater inden 48 timer

Sådan ser Auroa det

Opdater E2Pdf-pluginnet til den nyeste version hurtigst muligt — det er den eneste sikre løsning. Kombinér opdateringen med en gennemgang af, hvilke brugere der har adgang til pluginnets funktioner, og begræns det til et absolut minimum. Hos Auroa anbefaler vi altid princippet om mindste privilegium: brugere skal kun have de rettigheder, de har et konkret og dokumenteret behov for. Har du brug for hjælp til at gennemgå din WordPress-sikkerhed, er du velkommen til at kontakte os.

Tidslinje

18/06/2026
CVE offentliggjort
CVE-2026-12407 blev officielt registreret og offentliggjort i National Vulnerability Database (NVD) med en CVSS-score på 8.8.
18/06/2026
Proof-of-concept tilgængeligt
Tekniske detaljer om angrebet blev offentliggjort i forbindelse med CVE-afsløringen, hvilket gør det relativt nemt for angribere at efterligne angrebet uden at have opdaget det selv.
18/06/2026
Patch tilgængelig
En opdateret version af E2Pdf-pluginnet, der retter sårbarheden, er tilgængelig via WordPress plugin-biblioteket. Alle berørte versioner op til og med 1.32.26 bør opdateres øjeblikkeligt.

Konkrete eksempler

Tidligere medarbejder eskalerer sine rettigheder

En tidligere freelance-tekstforfatter har stadig en aktiv brugerkonto på din WordPress-hjemmeside med rollen Forfatter og adgang til E2Pdf. Han ved, at pluginnet har en fejl, og sender en særlig forespørgsel til hjemmesiden, der ændrer WordPress-indstillingen for standardrolle til Administrator. Derefter opretter han en ny brugerkonto — den får automatisk administratorrettigheder. Nu har han fuld adgang til hjemmesiden og kan eksportere kundedata, installere malware eller låse dig ude.

Kompromitteret medarbejderkonto bruges som springbræt

En hacker har fået fat i loginoplysningerne til en af dine medarbejderes WordPress-konti — måske via et phishing-angreb. Medarbejderen har rollen Redaktør med E2Pdf-rettigheder. Hackeren bruger den kompromitterede konto til at overskrive WordPress’ default_role-indstilling og opretter derefter sin egen administratorkonto. Herefter installerer hackeren et skjult bagdørsplugin, som giver ham vedvarende adgang til hjemmesiden — også efter at medarbejderens adgangskode er skiftet.

Automatiseret masseangreb via sårbarhedsscanner

Kriminelle bruger automatiserede værktøjer til at scanne internettet for WordPress-sider, der kører sårbare versioner af E2Pdf. Finder de din hjemmeside, opretter de en gratis konto (hvis din side tillader brugerregistrering), tildeler sig selv rettigheder via pluginnets fejl og eskalerer til administrator — alt sammen uden menneskelig indgriben. Denne type angreb sker typisk inden for dage efter at en CVE er offentliggjort.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-862

Original NVD-beskrivelse (engelsk)

The E2Pdf – Export Pdf Tool for WordPress plugin for WordPress is vulnerable to Missing Authorization in versions up to, and including, 1.32.26. This is due to the screen_action() function lacking a dedicated capability check and nonce verification — when invoked via the ?action=screen routing path the controller’s index_action() nonce gate is bypassed entirely — while reading an attacker-controlled option name and value from $_POST[‘wp_screen_options’] and passing them directly to update_option() with no allowlist, relying solely on the page-level e2pdf_templates capability which the plugin’s own Permissions UI allows administrators to grant to any role including Subscriber, Contributor, Author, or Editor. This makes it possible for authenticated attackers, with a custom role that has been granted the e2pdf_templates capability, to overwrite arbitrary WordPress options such as default_role and thereby escalate their privileges to administrator.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-12407
Offentliggjort
18/06/2026
Sidst opdateret
18/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden 48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.