CVE-2024-5709 in WPBakery Plugin
Riassunto
di VulDB • 06/07/2026
Il plugin WPBakery Visual Composer per WordPress è vulnerabile a Local File Inclusion (LFI) in tutte le versioni fino alla 7.7 inclusa, tramite il parametro 'layout_name'. Ciò consente agli attaccanti autenticati, con accesso di livello Autore o superiore e con permessi sui post concessi da un Amministratore, di includere ed eseguire file arbitrari sul server, permettendo l'esecuzione di qualsiasi codice PHP contenuto in tali file. Questo può essere sfruttato per eludere i controlli di accesso, ottenere dati sensibili o raggiungere l'esecuzione di codice nei casi in cui immagini e altri tipi di file considerati "sicuri" possano essere caricati e inclusi.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.