CVE-2026-3352 in Easy PHP Settings Plugininfo

Zusammenfassung

von VulDB • 30.05.2026

Das WordPress-Plugin „Easy PHP Settings“ ist in allen Versionen bis einschließlich 1.0.4 anfällig für PHP-Code-Injection über die Methode `update_wp_memory_constants()`. Dies ist auf eine unzureichende Eingabevalidierung der Einstellungen `wp_memory_limit` und `wp_max_memory_limit` vor dem Schreiben in `wp-config.php` zurückzuführen. Die zur Sanitisierung verwendete Funktion `sanitize_text_field()` filtert einfache Anführungszeichen nicht, was es einem Angreifer ermöglicht, aus dem String-Kontext in einer PHP `define()`-Anweisung auszubrechen. Dies ermöglicht es authentifizierten Angreifern mit Administratorzugriff oder höher, beliebigen PHP-Code auf dem Server einzufügen und auszuführen, indem sie `wp-config.php` modifizieren, das bei jeder Seitenanforderung geladen wird.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Veröffentlichung

07.03.2026

Moderieren

akzeptiert

Eintrag

VDB-349478

CPE

bereit

CWE

CWE-94 (bestätigt)

CVSS

7.2 (CNA)

EPSS

0.00067

KEV

nein

Aktivitäten

very low

Sektor

Hostingprovider

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-3352
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-3352
CVE Details	https://www.cvedetails.com/cve/CVE-2026-3352/

◂ Zurück Übersicht Weiter ▸

Interested in the pricing of exploits?

See the underground prices here!