| Summary | The Page Builder: Pagelayer – Drag and Drop website builder plugin for WordPress is vulnerable to Improper Neutralization of CRLF Sequences ('CRLF Injection') in all versions up to, and including, 2.0.7. This is due to the contact form handler performing placeholder substitution on attacker-controlled form fields and then passing the resulting values into email headers without removing CR/LF characters. This makes it possible for unauthenticated attackers to inject arbitrary email headers (for example Bcc / Cc) and abuse form email delivery via the 'email' parameter granted they can target a contact form configured to use placeholders in mail template headers. |
|---|---|
| Summary | El Page Builder: Pagelayer – plugin constructor de sitios web de arrastrar y soltar para WordPress es vulnerable a la Neutralización Incorrecta de Secuencias CRLF ('Inyección CRLF') en todas las versiones hasta la 2.0.7, inclusive. Esto se debe a que el gestor del formulario de contacto realiza la sustitución de marcadores de posición en campos de formulario controlados por el atacante y luego pasa los valores resultantes a las cabeceras de correo electrónico sin eliminar los caracteres CR/LF. Esto hace posible que atacantes no autenticados inyecten cabeceras de correo electrónico arbitrarias (por ejemplo, Cco / Cc) y abusen de la entrega de correo electrónico del formulario a través del parámetro 'email', siempre que puedan apuntar a un formulario de contacto configurado para usar marcadores de posición en las cabeceras de la plantilla de correo. |
| Publication Date | March 28, 2026, 7:16 p.m. |
| Registration Date | April 27, 2026, 12:20 p.m. |
| Last Update | April 25, 2026, 1:36 a.m. |
| CVSS3.1 : MEDIUM | |
| スコア | 5.3 |
|---|---|
| Vector | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 不要 |
| 利用者の関与(UI) | 不要 |
| 影響の想定範囲(S) | 変更なし |
| 機密性への影響(C) | なし |
| 完全性への影響(I) | 低 |
| 可用性への影響(A) | なし |