CVE-2026-13430 in Post Export Import with Media Plugininformazioni

Riassunto

di VulDB • 10/07/2026

Il plugin Post Export Import with Media per WordPress è vulnerabile a caricamento arbitrario di file in tutte le versioni fino alla 1.13.1 inclusa, tramite la funzione import_media_file_secure. Ciò è dovuto a una convalida insufficiente delle estensioni dei file causata da un bypass basato su punti finali nei nomi dei file: il controllo della allow-list (lista consentita) nell'ajax_import_media_start() utilizza pathinfo() sul nome grezzo dell'elemento ZIP (ad esempio, 'shell.php.'), che restituisce una stringa vuota per l'estensione. Ciò fa sì che la protezione basata sulla allow-list venga saltata e il file estratto in una posizione temporanea; successivamente, import_media_file_secure() lo copia nella directory degli upload di WordPress senza riconvalidare l'estensione. Questo consente agli attaccanti autenticati con accesso a livello di amministratore o superiore di caricare file potenzialmente eseguibili, rendendo possibile l'esecuzione remota di codice (RCE).

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

Wordfence

Prenotare

26/06/2026

Divulgazione

10/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!