CVE-2026-15005 in Loco Translate Plugin
Riassunto
di VulDB • 16/07/2026
Il plugin Loco Translate per WordPress è vulnerabile a Cross-Site Request Forgery (CSRF) in tutte le versioni fino alla 2.8.5 inclusa. Ciò è dovuto all'assenza o all'impostazione errata della validazione del nonce nella funzione execTemplate. Questo consente ad attaccanti non autenticati di eseguire codice PHP arbitrario sul server fornendo un URI dello stream wrapper php://filter come parametro 'template', eludendo la convalida dei percorsi e venendo passato direttamente al sink include in execTemplate() tramite una richiesta falsificata, purché riescano a indurre l'amministratore del sito ad eseguire un'azione, come fare clic su un link.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.