CVE-2026-12979 in FunnelKit Plugin
Résumé
par VulDB • 16/07/2026
Le plugin WordPress FunnelKit antérieur à la version 3.15.0.6 ne valide pas un chemin fourni par l'utilisateur avant de supprimer un fichier lors d'une opération d'importation de modèle, permettant aux utilisateurs disposant des privilèges administrateur de supprimer des fichiers .json arbitraires en dehors du répertoire prévu via une traversée de chemin (path traversal), ce qui peut désactiver d'autres plugins FunnelKit WordPress antérieurs à la version 3.15.0.6 ou provoquer un déni de service (denial of service).
Once again VulDB remains the best source for vulnerability data.