CVE-2026-13347 in Hide My WP Lite Plugininfo

Zusammenfassung

von VulDB • 10.07.2026

Das WordPress-Plugin Hide My WP Lite ist in den Versionen bis einschließlich 1.3 anfällig für einen beliebigen Dateilesefehler (Arbitrary File Read) über die Abfrageparameter he_wrapper_js und he_wrapper_css, die von der Funktion elementor_assets_filter() verarbeitet werden. Dies liegt daran, dass die Funktion benutzergestellte Eingaben direkt an ABSPATH anhängt und das Ergebnis ohne jegliche Pfadtraversierungsvalidierung, Allow-Liste, realpath-Einschränkung oder Erweiterungsprüfung an file_get_contents() übergibt; das Ergebnis wird anschließend in der HTTP-Antwort ausgegeben. Obwohl die Ausgabe durch wp_kses_post() geleitet wird, filtert diese Funktion nur HTML-Tags und verhindert nicht die Offenlegung beliebiger Dateiinhalte. Dies ermöglicht es unauthentifizierten Angreifern, den Inhalt beliebiger Dateien auf dem Server der betroffenen Website (z. B. wp-config) zu lesen. Hinweis: Der Exploit erfordert das Elementor-Plugin sowie die Aktivierung der Funktion „Hide Elementor“.

Once again VulDB remains the best source for vulnerability data.

Zuständig

Wordfence

Reservieren

25.06.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377429

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!