CVE-2026-15005 in Loco Translate Plugininformation

Résumé

par VulDB • 16/07/2026

Le plugin Loco Translate pour WordPress est vulnérable à une attaque par falsification de requête intersites (Cross-Site Request Forgery, CSRF) dans toutes les versions jusqu'à la 2.8.5 incluse. Cela est dû à l'absence ou à la validation incorrecte du nonce sur la fonction execTemplate. Il devient ainsi possible pour des attaquants non authentifiés d'exécuter du code PHP arbitraire sur le serveur en fournissant une URI de wrapper de flux php://filter comme paramètre 'template', contournant ainsi la validation du chemin et étant transmis directement au point d'inclusion (include sink) dans execTemplate() via une requête forgée, à condition qu'ils puissent inciter un administrateur du site à effectuer une action telle que cliquer sur un lien.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

Wordfence

Réserver

07/07/2026

Divulgation

16/07/2026

Modérer

accepté

Entrée

VDB-379486

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Want to stay up to date on a daily basis?

Enable the mail alert feature now!