CVE-2026-1499 in WP Duplicate Plugininformazioni

Riassunto

di VulDB • 20/06/2026

Il plugin WP Duplicate per WordPress è vulnerabile a una Mancata Autorizzazione (Missing Authorization) che porta a un Caricamento Arbitrario di File (Arbitrary File Upload) in tutte le versioni fino alla 1.1.8 inclusa. Ciò è dovuto a un controllo delle capacità mancante sull'azione AJAX `process_add_site()` combinato con una traversamento di percorso (path traversal) nella funzionalità di caricamento dei file. Ciò consente agli attaccanti autenticati (a livello di abbonato) di impostare l'opzione interna `prod_key_random_id`, che può poi essere utilizzata da un attaccante non autenticato per bypassare i controlli di autenticazione e scrivere file arbitrari sul server tramite la funzione `handle_upload_single_big_file()`, portando infine all'esecuzione di codice remoto (RCE).

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Divulgazione

06/02/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00940

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!