CVE-2026-1499 in WP Duplicate Plugininformación

Resumen

por VulDB • 2026-06-12

El plugin WP Duplicate para WordPress es vulnerable a una falta de autorización (Missing Authorization) que conduce a la carga arbitraria de archivos (Arbitrary File Upload) en todas las versiones hasta la 1.1.8, incluidas. Esto se debe a una comprobación de capacidades faltante en la acción AJAX `process_add_site()` combinada con una traversía de rutas (path traversal) en la funcionalidad de carga de archivos. Esto permite que atacantes autenticados (a nivel de suscriptor) establezcan la opción interna `prod_key_random_id`, la cual puede ser utilizada por un atacante no autenticado para eludir las comprobaciones de autenticación y escribir archivos arbitrarios en el servidor a través de la función `handle_upload_single_big_file()`, lo que finalmente conduce a la ejecución remota de código (RCE).

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Divulgación

2026-02-06

Moderación

aceptado

Artículo

VDB-344624

CPE

listo

EPSS

0.00940

KEV

no

Actividades

muy bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!