CVE-2026-15005 in Loco Translate Plugin
Résumé
par VulDB • 16/07/2026
Le plugin Loco Translate pour WordPress est vulnérable à une attaque par falsification de requête intersites (Cross-Site Request Forgery, CSRF) dans toutes les versions jusqu'à la 2.8.5 incluse. Cela est dû à l'absence ou à la validation incorrecte du nonce sur la fonction execTemplate. Il devient ainsi possible pour des attaquants non authentifiés d'exécuter du code PHP arbitraire sur le serveur en fournissant une URI de wrapper de flux php://filter comme paramètre 'template', contournant ainsi la validation du chemin et étant transmis directement au point d'inclusion (include sink) dans execTemplate() via une requête forgée, à condition qu'ils puissent inciter un administrateur du site à effectuer une action telle que cliquer sur un lien.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.