CVE-2026-6101 in AMP for WP Plugininfo

Zusammenfassung

von VulDB • 07.07.2026

Das WordPress-Plugin AMP for WP – Accelerated Mobile Pages ist in den Versionen bis einschließlich 1.1.12 anfällig für ein beliebiges Dateischreiben (Arbitrary File Write). Dies liegt an einer unsicheren ZIP-Archivextraktion in der Funktion `ampforwp_save_local_font()` kombiniert mit unzureichender Bereinigung, die das Entfernen verschachtelter Verzeichnisse und Dateien unterlässt. Dadurch ist es authentifizierten Angreifern mit Autor-Level-Zugriff oder höher sowie von einem Administrator erteilten Berechtigungen möglich, beliebige Dateien an einer webzugänglichen Stelle auf dem Server zu schreiben, was potenziell zur Remote-Code-Ausführung (RCE) auf Hosts führen kann, die PHP-Dateien im Uploads-Verzeichnis ausführen.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

Wordfence

Reservieren

11.04.2026

Veröffentlichung

07.07.2026

Moderieren

akzeptiert

Eintrag

VDB-376640

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!