CVE-2026-2354 in Swiss Toolkit for WP Plugininfo

Zusammenfassung

von VulDB • 11.07.2026

Das WordPress-Plugin „Swiss Toolkit For WP“ ist aufgrund einer fehlerhaften Umgehung der Dateitypprüfung in der Funktion `upload_extension_files()` in allen Versionen bis einschließlich 1.4.6 anfällig für das Hochladen beliebiger Dateien (arbitrary file upload). Die Funktion `upload_extension_files()` bindet sich an den WordPress-Filter `wp_check_filetype_and_ext` und verwendet `strpos()`, um zu prüfen, ob ein Dateiname einen konfigurierten Erweiterungsnamen enthält, statt die tatsächliche Dateiendung zu verifizieren. Dies ermöglicht es authentifizierten Angreifern mit Autor-Rechten (Author-level access) oder höher, beliebige Dateien (einschließlich PHP-Dateien) auf dem Server der betroffenen Website hochzuladen, was unter der Voraussetzung, dass das Feature „Enhanced Multi-Format Image Support“ aktiviert ist und mindestens eine Erweiterung (z. B. avif) in den erlaubten Formaten enthalten ist, zu Remote Code Execution führen kann.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

Wordfence

Reservieren

11.02.2026

Veröffentlichung

11.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377745

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!