CVE-2026-2354 in Swiss Toolkit for WP Plugininformación

Resumen

por VulDB • 2026-07-11

El plugin Swiss Toolkit For WP para WordPress es vulnerable a la carga arbitraria de archivos debido a una vulnerabilidad en la validación del tipo de archivo que permite eludir dicha validación en la función `upload_extension_files()` presente en todas las versiones hasta, e incluyendo, la 1.4.6. La función `upload_extension_files()` se conecta al filtro `wp_check_filetype_and_ext` de WordPress y utiliza `strpos()` para comprobar si un nombre de archivo contiene una cadena de extensión configurada, en lugar de verificar la extensión real del archivo. Esto permite a los atacantes autenticados con permisos de nivel Autor o superiores cargar archivos arbitrarios (incluyendo PHP) en el servidor del sitio afectado, lo que podría facilitar la ejecución remota de código, siempre que la función "Enhanced Multi-Format Image Support" esté habilitada y se haya añadido al menos una extensión (por ejemplo, avif) a los formatos permitidos.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

Wordfence

Reservar

2026-02-11

Divulgación

2026-07-11

Moderación

aceptado

Artículo

VDB-377745

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!