CVE-2026-2470: Sårbarhed i WordPress Pagelayer-plugin
WordPress-plugin Pagelayer lader bidragydere manipulere kontaktformularer og sende vilkårlige e-mails — opdater til 2.1.0 eller nyere.
Hvad er det?
Pagelayer er et populært WordPress-plugin til at bygge hjemmesider med træk-og-slip. En fejl i pluginnet betyder, at brugere med begrænset adgang (fx en bidragyder, der kan skrive indlæg) kan ændre skabeloner for kontaktformularer på siden. Disse skabeloner styrer, hvad der står i de e-mails, som sendes, når besøgende udfylder en formular. Fejlen opstår, fordi pluginnets bagvedliggende kode ikke tjekker grundigt nok, hvem der har lov til at ændre disse indstillinger — og fordi den efterfølgende formularindsendelse sker uden login-krav.
Hvem rammer det?
Sårbarheden rammer alle WordPress-hjemmesider, der bruger Pagelayer-pluginnet i version 2.0.9 eller tidligere, og som har én eller flere brugere med rollen Bidragyder (Contributor) eller højere. Det er særligt relevant, hvis du:
- Driver en WordPress-hjemmeside med kontaktformular bygget i Pagelayer
- Har medarbejdere, freelancere eller kunder, der kan logge ind og skrive indlæg
- Bruger hjemmesiden til at modtage henvendelser fra kunder eller samarbejdspartnere
Hvad kan ske?
En angriber, der kan logge ind som bidragyder, kan ændre indholdet i dine kontaktformular-e-mails, så de indeholder falske budskaber, vildledende links eller spam. Efterfølgende kan hvem som helst — uden at være logget ind — udløse disse e-mails ved at indsende formularen. Det kan føre til:
- Udsendelse af spam eller phishing-e-mails fra din virksomheds e-mailadresse
- Skade på din e-mail-omdømmescore (kan betyde, at dine rigtige e-mails havner i spam)
- Vildledende kommunikation til dine kunder i dit navn
- Kombineret med CVE-2026-2442 kan angriberen få endnu større kontrol over udgående e-mails
Hvor alvorligt er det?
Sårbarheden er vurderet til 4,3 ud af 10 (Moderat) af det internationale CVSS-system. Det er ikke den mest kritiske type fejl, fordi angriberen skal have et login til din hjemmeside for at udnytte den. Den påvirker heller ikke fortrolighed (dine data stjæles ikke) eller tilgængelighed (siden går ikke ned). Risikoen ligger i, at indholdet på din side og dine e-mails kan manipuleres. Kombineres den med den relaterede sårbarhed CVE-2026-2442, øges det samlede skadepotentiale.
Hvad gør jeg nu?
Følg disse trin for at lukke sårbarheden så hurtigt som muligt:
- Opdater Pagelayer-pluginnet til version 2.1.0 eller nyere via dit WordPress-dashboard under Plugins → Opdateringer.
- Tjek dine brugerroller: Gennemgå, hvilke brugere der har rollen Bidragyder eller højere, og fjern adgang for dem, der ikke har brug for det.
- Kontrollér dine kontaktformular-skabeloner: Log ind i Pagelayer og gennemgå eksisterende e-mailskabeloner for uventede ændringer.
- Hold øje med udgående e-mails: Tjek din e-mail-log eller kontakt din webhost for at se, om der er sendt usædvanlige e-mails fra din side.
- Opdater også øvrige plugins: Tjek om CVE-2026-2442 også berører plugins på din side, og opdater ligeledes.
Opdater inden for 7 dage
Auroa anbefaler, at du opdaterer Pagelayer-pluginnet hurtigst muligt — gerne inden for de næste 7 dage. Selvom fejlen kræver et login for at udnyttes, er det ikke usædvanligt, at WordPress-sider har bidragyder-konti, som kan være kompromitteret eller misbrugt. Gennemgå samtidig dine brugerroller og slet konti, der ikke bruges. Har du brug for hjælp til at sikre din WordPress-installation, er du velkommen til at kontakte os.
Tidslinje
Konkrete eksempler
Bidragyder ændrer kontaktformular-skabelon
En freelance-skribent, der har fået Bidragyder-adgang til din WordPress-side for at skrive blogindlæg, udnytter fejlen til at ændre din kontaktformulars e-mailskabelon. Skabelonen ændres, så alle fremtidige formularindsendelser resulterer i e-mails med et falsk budskab eller et phishing-link — sendt fra din virksomheds e-mailadresse til den besøgende, der udfyldte formularen.
Uautoriseret masse-spam fra din e-mailadresse
En angriber kompromitterer en gammel og glemt Bidragyder-konto på din hjemmeside. Vedkommende ændrer kontaktformularens skabelon til at udsende spam-indhold. Derefter udløser angriberen formularen gentagne gange uden at være logget ind, hvilket resulterer i, at din e-mailadresse sender hundredvis af spam-e-mails. Det kan føre til, at din domæne-e-mail havner på en sortliste (blocklist), og at dine rigtige e-mails til kunder ikke leveres.
Kombineret angreb med CVE-2026-2442
En angriber udnytter først CVE-2026-2470 til at ændre e-mailskabelonens indhold og derefter CVE-2026-2442 til at manipulere, hvem e-mailen sendes til eller fra. Resultatet er, at e-mails fra din kontaktformular tilsyneladende kommer fra en betroet afsender (fx din bank eller en myndighed) og indeholder falske instruktioner til dine kunder — et klassisk phishing-scenarie i dit navn.
Ofte stillede spørgsmål
Skal jeg være bekymret, hvis ingen kan logge ind på min WordPress-side?
Hvis din WordPress-side ikke har nogen registrerede brugere — ud over dig selv som administrator — er risikoen meget lille. Sårbarheden kræver, at en angriber kan logge ind med mindst Bidragyder-adgang. Du bør dog stadig opdatere pluginnet som en god vane.
Kan mine kunders data blive stjålet via denne sårbarhed?
Nej, ikke direkte. Sårbarheden giver ikke adgang til at læse eller stjæle data fra din hjemmeside eller database. Risikoen er primært, at udgående e-mails fra dine formularer kan manipuleres til at indeholde falsk indhold.
Hvad er forskellen på denne fejl og CVE-2026-2442?
CVE-2026-2470 handler om, at en bidragyder kan ændre indholdet i e-mailskabeloner. CVE-2026-2442 er en relateret sårbarhed i samme plugin, der kan give angriberen endnu større kontrol over e-mailadfærden. De to kan bruges sammen for at forstærke angrebet, så det er vigtigt at håndtere begge.
Hvordan opdaterer jeg et WordPress-plugin?
Log ind på dit WordPress-dashboard og gå til Plugins → Installerede plugins. Find Pagelayer på listen og klik på Opdater nu, hvis en opdatering er tilgængelig. Det tager typisk under et minut. Husk at tage en sikkerhedskopi af din side, inden du opdaterer.
Vil opdateringen ødelægge noget på min hjemmeside?
Det er sjældent, at en sikkerhedsopdatering ændrer synlige funktioner. Det anbefales dog altid at tage en fuld backup af din side, inden du opdaterer. Mange webhosts tilbyder automatisk backup — tjek med din webhost, om det er tilfældet for dig.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The Page Builder: Pagelayer – Drag and Drop website builder plugin for WordPress is vulnerable to Incorrect Authorization in all versions up to, and including, 2.0.9. This is due to the pagelayer_save_content AJAX handler allowing users with basic post-edit capability to persist pagelayer_contact_templates metadata on posts they can edit (including pending posts), while the unauthenticated pagelayer_contact_submit endpoint later consumes that metadata by user-controlled post/form identifiers without enforcing a privileged or published-context boundary. This makes it possible for authenticated attackers, with Contributor-level access and above, to configure arbitrary contact-form mail templates that are usable through unauthenticated form submission via the contacts parameter. In typical deployments this template feature is configured via Pagelayer Pro UI; however, the vulnerable backend trust path is still present. This issue may be chained with CVE-2026-2442 to increase exploitability and attacker control over outbound email behavior.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
