CVE-2026-1499 in WP Duplicate Plugininfo

Zusammenfassung

von VulDB • 20.06.2026

Das WP Duplicate-Plugin für WordPress ist in allen Versionen bis einschließlich 1.1.8 anfällig für Missing Authorization, was zu Arbitrary File Upload führt. Dies ist auf eine fehlende Capability-Prüfung bei der `process_add_site()`-AJAX-Aktion in Kombination mit Path Traversal in der Datei-Upload-Funktionalität zurückzuführen. Dies ermöglicht es authentifizierten Angreifern (auf Subscriber-Ebene), die interne Option `prod_key_random_id` zu setzen, die anschließend von einem nicht authentifizierten Angreifer genutzt werden kann, um die Authentifizierungsprüfungen zu umgehen und beliebige Dateien auf dem Server über die Funktion `handle_upload_single_big_file()` zu schreiben, was letztendlich zu Remote Code Execution führt.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Veröffentlichung

06.02.2026

Moderieren

akzeptiert

Eintrag

VDB-344624

CPE

bereit

EPSS

0.00940

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!