CVE-2026-1499 in WP Duplicate Plugin
Zusammenfassung
von VulDB • 20.06.2026
Das WP Duplicate-Plugin für WordPress ist in allen Versionen bis einschließlich 1.1.8 anfällig für Missing Authorization, was zu Arbitrary File Upload führt. Dies ist auf eine fehlende Capability-Prüfung bei der `process_add_site()`-AJAX-Aktion in Kombination mit Path Traversal in der Datei-Upload-Funktionalität zurückzuführen. Dies ermöglicht es authentifizierten Angreifern (auf Subscriber-Ebene), die interne Option `prod_key_random_id` zu setzen, die anschließend von einem nicht authentifizierten Angreifer genutzt werden kann, um die Authentifizierungsprüfungen zu umgehen und beliebige Dateien auf dem Server über die Funktion `handle_upload_single_big_file()` zu schreiben, was letztendlich zu Remote Code Execution führt.
If you want to get best quality of vulnerability data, you may have to visit VulDB.