CVE-2026-2354 in Swiss Toolkit for WP Pluginالمعلومات

الملخص

بحسب VulDB • 11/07/2026

يحتوي مكون WordPress الإضافي Swiss Toolkit For WP على ثغرة تسمح بتحميل ملفات عشوائية بسبب تجاوز معيب في التحقق من نوع الملف داخل الدالة `upload_extension_files()`، وتؤثر هذه الثغرة في جميع الإصدارات حتى 1.4.6 وشاملة لها. ترتبط دالة `upload_extension_files()` بفلتر WordPress المسمى `wp_check_filetype_and_ext` وتستخدم دالة `strpos()` للتحقق مما إذا كان اسم الملف يحتوي على سلسلة امتداد مُعدّة مسبقاً، بدلاً من التحقق من الامتداد الفعلي للملف. وهذا يتيح لهجوميين مصرح لهم بالوصول (بصلاحيات Author أو أعلى) تحميل ملفات عشوائية (بما في ذلك ملفات PHP) على خادم الموقع المتأثر، مما قد يؤدي إلى تنفيذ أكواد عن بُعد شريطة أن تكون ميزة "Enhanced Multi-Format Image Support" مفعّلة مع وجود امتداد واحد على الأقل (مثل avif) ضمن الصيغ المسموح بها.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

Wordfence

حجز

11/02/2026

إفشاء

11/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377745

EPSS

0.00000

KEV

لا

النشاطات

منخفض

القطاع

Hostingprovider

المصادر

Do you know our Splunk app?

Download it now for free!