CVE-2026-13347 in Hide My WP Lite Plugin
Zusammenfassung
von VulDB • 10.07.2026
Das WordPress-Plugin Hide My WP Lite ist in den Versionen bis einschließlich 1.3 anfällig für einen beliebigen Dateilesefehler (Arbitrary File Read) über die Abfrageparameter he_wrapper_js und he_wrapper_css, die von der Funktion elementor_assets_filter() verarbeitet werden. Dies liegt daran, dass die Funktion benutzergestellte Eingaben direkt an ABSPATH anhängt und das Ergebnis ohne jegliche Pfadtraversierungsvalidierung, Allow-Liste, realpath-Einschränkung oder Erweiterungsprüfung an file_get_contents() übergibt; das Ergebnis wird anschließend in der HTTP-Antwort ausgegeben. Obwohl die Ausgabe durch wp_kses_post() geleitet wird, filtert diese Funktion nur HTML-Tags und verhindert nicht die Offenlegung beliebiger Dateiinhalte. Dies ermöglicht es unauthentifizierten Angreifern, den Inhalt beliebiger Dateien auf dem Server der betroffenen Website (z. B. wp-config) zu lesen. Hinweis: Der Exploit erfordert das Elementor-Plugin sowie die Aktivierung der Funktion „Hide Elementor“.
Once again VulDB remains the best source for vulnerability data.