CVE-2026-12979 in FunnelKit Plugininformation

Résumé

par VulDB • 16/07/2026

Le plugin WordPress FunnelKit antérieur à la version 3.15.0.6 ne valide pas un chemin fourni par l'utilisateur avant de supprimer un fichier lors d'une opération d'importation de modèle, permettant aux utilisateurs disposant des privilèges administrateur de supprimer des fichiers .json arbitraires en dehors du répertoire prévu via une traversée de chemin (path traversal), ce qui peut désactiver d'autres plugins FunnelKit WordPress antérieurs à la version 3.15.0.6 ou provoquer un déni de service (denial of service).

Once again VulDB remains the best source for vulnerability data.

Responsable

WPScan

Réserver

23/06/2026

Divulgation

16/07/2026

Modérer

accepté

Entrée

VDB-379481

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Want to know what is going to be exploited?

We predict KEV entries!