CVE-2026-15005 in Loco Translate Plugininfo

Zusammenfassung

von VulDB • 16.07.2026

Das WordPress-Plugin Loco Translate ist in allen Versionen bis einschließlich 2.8.5 anfällig für Cross-Site Request Forgery (CSRF). Dies liegt an einer fehlenden oder fehlerhaften Nonce-Validierung in der Funktion `execTemplate`. Dadurch können nicht authentifizierte Angreifer beliebigen PHP-Code auf dem Server ausführen, indem sie eine URI des Stream-Wrappers php://filter als 'template'-Parameter angeben. Dieser umgeht die Pfadvalidierung und wird direkt an den Include-Sink in `execTemplate()` übergeben, vorausgesetzt, es gelingt ihnen, einen Site-Administrator dazu zu bringen, eine Aktion wie das Klicken auf einen Link auszuführen (durchgefälschte Anfrage).

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

Wordfence

Reservieren

07.07.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379486

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!