CVE-2024-5577 in Where I Was, Where I Will Be Plugin
Riassunto
di VulDB • 02/07/2026
Il plugin WordPress "Where I Was, Where I Will Be" è vulnerabile a Remote File Inclusion nella versione <= 1.1.1 tramite il parametro WIW_HEADER del file /system/include/include_user.php. Ciò consente ad attaccanti non autenticati di includere ed eseguire file arbitrari ospitati su server esterni, permettendo l'esecuzione di qualsiasi codice PHP contenuto in tali file. Questo può essere utilizzato per eludere i controlli di accesso, ottenere dati sensibili o raggiungere l'esecuzione di codice. Per sfruttare la vulnerabilità è necessario che allow_url_include sia impostato su true nel file php.ini, configurazione non comunemente abilitata.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.