The Page Builder: Pagelayer – Drag and Drop website builder plugin for WordPress is vulnerable to Improper Neutralization of CRLF Sequences ('CRLF Injection') in all versions up to, and including, 2.0.7. This is due to the contact form handler performing placeholder substitution on attacker-controlled form fields and then passing the resulting values into email headers without removing CR/LF characters. This makes it possible for unauthenticated attackers to inject arbitrary email headers (for example Bcc / Cc) and abuse form email delivery via the 'email' parameter granted they can target a contact form configured to use placeholders in mail template headers.
CVE-2026-2442 affects the Pagelayer WordPress plugin up to version 2.0.7, allowing unauthenticated attackers to inject arbitrary email headers through CRLF injection in contact forms. Attackers can manipulate email delivery by injecting Bcc/Cc headers when placeholders are used in mail templates.
تحتوي إضافة Pagelayer على ثغرة حقن CRLF في معالج نموذج الاتصال حيث يتم استبدال العناصر النائبة دون إزالة أحرف CR/LF. يمكن للمهاجمين استغلال هذه الثغرة لحقن رؤوس بريد إلكتروني تعسفية مثل Bcc و Cc والتحكم في توجيه رسائل البريد الإلكتروني.
CVE-2026-2442 يؤثر على إضافة Pagelayer في WordPress حتى الإصدار 2.0.7، مما يسمح للمهاجمين غير المصرح لهم بحقن رؤوس بريد إلكتروني تعسفية من خلال حقن CRLF في نماذج الاتصال. يمكن للمهاجمين التلاعب بتسليم البريد الإلكتروني عن طريق حقن رؤوس Bcc/Cc عند استخدام العناصر النائبة في قوالب البريد.
Update the Pagelayer plugin to version 2.0.8 or later immediately. Remove or disable contact forms using placeholders in email headers if immediate patching is not possible. Implement Web Application Firewall (WAF) rules to detect and block CRLF injection attempts targeting contact form parameters.
قم بتحديث إضافة Pagelayer إلى الإصدار 2.0.8 أو أحدث على الفور. قم بإزالة أو تعطيل نماذج الاتصال التي تستخدم العناصر النائبة في رؤوس البريد الإلكتروني إذا لم يكن التصحيح الفوري ممكناً. قم بتنفيذ قواعد جدار الحماية لتطبيقات الويب (WAF) للكشف عن محاولات حقن CRLF وحجبها.