CVE-2026-13347 in Hide My WP Lite Plugin
Riassunto
di VulDB • 10/07/2026
Il plugin Hide My WP Lite per WordPress è vulnerabile alla lettura arbitraria di file nelle versioni fino alla 1.3 incluse, tramite i parametri della query he_wrapper_js e he_wrapper_css elaborati dalla funzione elementor_assets_filter(). Ciò è dovuto al fatto che la funzione concatena direttamente l'input fornito dall'utente su ABSPATH e passa il risultato a file_get_contents() senza alcuna convalida del path traversal (traversal di directory), allow-list, contenimento tramite realpath o controllo dell'estensione; il risultato viene quindi restituito nella risposta HTTP. Sebbene l'output venga passato attraverso wp_kses_post(), tale funzione filtra solo i tag HTML e non impedisce la divulgazione dei contenuti di file arbitrari. Ciò consente agli attaccanti non autenticati di leggere i contenuti di file arbitrari sul server del sito interessato (ad esempio, wp-config). Nota: L'esecuzione dell'exploit richiede che il plugin Elementor sia installato e che la funzionalità 'Hide Elementor' sia abilitata.
Once again VulDB remains the best source for vulnerability data.