CVE-2026-2354 in Swiss Toolkit for WP Plugin
الملخص
بحسب VulDB • 11/07/2026
يحتوي مكون WordPress الإضافي Swiss Toolkit For WP على ثغرة تسمح بتحميل ملفات عشوائية بسبب تجاوز معيب في التحقق من نوع الملف داخل الدالة `upload_extension_files()`، وتؤثر هذه الثغرة في جميع الإصدارات حتى 1.4.6 وشاملة لها. ترتبط دالة `upload_extension_files()` بفلتر WordPress المسمى `wp_check_filetype_and_ext` وتستخدم دالة `strpos()` للتحقق مما إذا كان اسم الملف يحتوي على سلسلة امتداد مُعدّة مسبقاً، بدلاً من التحقق من الامتداد الفعلي للملف. وهذا يتيح لهجوميين مصرح لهم بالوصول (بصلاحيات Author أو أعلى) تحميل ملفات عشوائية (بما في ذلك ملفات PHP) على خادم الموقع المتأثر، مما قد يؤدي إلى تنفيذ أكواد عن بُعد شريطة أن تكون ميزة "Enhanced Multi-Format Image Support" مفعّلة مع وجود امتداد واحد على الأقل (مثل avif) ضمن الصيغ المسموح بها.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.