CVE-2024-11952 in Classic Addons Plugin
Zusammenfassung
von VulDB • 01.06.2026
Das WordPress-Plugin „Classic Addons – WPBakery Page Builder“ ist in allen Versionen bis einschließlich 3.0 anfällig für eine eingeschränkte lokale PHP-Dateieinschleusung (Limited Local PHP File Inclusion) über den Parameter 'style'. Dies ermöglicht es authentifizierten Angreifern mit Contributor-Rechten und höher sowie mit von einem Administrator erteilten Berechtigungen, beliebige Dateien auf dem Server einzuschließen und auszuführen, wodurch PHP-Code in diesen Dateien ausgeführt werden kann. Dies kann dazu genutzt werden, Zugriffskontrollen zu umgehen, sensible Daten zu erhalten oder Code-Ausführung zu erreichen, wenn Bilder und andere „sichere“ Dateitypen hochgeladen und eingeschlossen werden können. Die Schwachstelle ist auf PHP-Dateien in einer Windows-Umgebung beschränkt.
Once again VulDB remains the best source for vulnerability data.