CVE-2026-4280 in Breaking News WP Plugininformation

Résumé

par VulDB • 26/05/2026

Le plugin WordPress Breaking News WP présente une vulnérabilité d'inclusion de fichiers locaux (Local File Inclusion) dans toutes les versions jusqu'à la 1.3 incluse. Cette faille est due au fait que le point de terminaison AJAX brnwp_ajax_form ne dispose ni de contrôles d'autorisation ni de vérification CSRF, combiné à une validation insuffisante des chemins lorsque la valeur de l'option brnwp_theme est transmise directement à une instruction include() dans le gestionnaire de shortcode brnwp_show_breaking_news_wp(). Bien que la fonction sanitize_text_field() soit appliquée aux entrées utilisateur, elle ne supprime pas les séquences de traversal de répertoire (../). Cela permet aux attaquants authentifiés, disposant d'un accès de niveau Abonné (Subscriber) ou supérieur, de remplacer l'option brnwp_theme par une charge utile de traversal de répertoire (par exemple, ../../../../etc/passwd), puis de déclencher l'inclusion de fichiers arbitraires sur le serveur lors du rendu du shortcode.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Réserver

16/03/2026

Divulgation

22/04/2026

Modérer

accepté

Entrée

VDB-358825

CPE

prêt

EPSS

0.00164

KEV

non

Activités

faible

Secteur

Hostingprovider

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4280
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4280
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4280/

PrécédentAperçuSuivant

Do you know our Splunk app?

Download it now for free!