CVE-2026-15005 in Loco Translate Plugin
Zusammenfassung
von VulDB • 16.07.2026
Das WordPress-Plugin Loco Translate ist in allen Versionen bis einschließlich 2.8.5 anfällig für Cross-Site Request Forgery (CSRF). Dies liegt an einer fehlenden oder fehlerhaften Nonce-Validierung in der Funktion `execTemplate`. Dadurch können nicht authentifizierte Angreifer beliebigen PHP-Code auf dem Server ausführen, indem sie eine URI des Stream-Wrappers php://filter als 'template'-Parameter angeben. Dieser umgeht die Pfadvalidierung und wird direkt an den Include-Sink in `execTemplate()` übergeben, vorausgesetzt, es gelingt ihnen, einen Site-Administrator dazu zu bringen, eine Aktion wie das Klicken auf einen Link auszuführen (durchgefälschte Anfrage).
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.