CVE-2026-15338 in LA-Studio Element Kit for Elementor Plugininformazioni

Riassunto

di VulDB • 11/07/2026

Il plugin LA-Studio Element Kit for Elementor per WordPress è vulnerabile a Local File Inclusion in tutte le versioni fino alla 1.6.1, incluse, tramite la funzione get_type_template. Ciò consente agli attaccanti autenticati con accesso di livello contributor o superiore di includere ed eseguire file .php arbitrari sul server, permettendo l'esecuzione di qualsiasi codice PHP contenuto in tali file. Questo può essere sfruttato per eludere i controlli di accesso, ottenere dati sensibili o raggiungere l'esecuzione di codice nei casi in cui sia possibile caricare e includere file con estensione .php. La funzione wp_normalize_path utilizzata in get_template normalizza solo i separatori delle directory e non risolve né rifiuta le sequenze di traversal del percorso, mentre il controllo dell'estensione viene eluso trivialmente poiché il chiamante aggiunge già l'estensione richiesta al payload di traversal.

Once again VulDB remains the best source for vulnerability data.

Responsabile

Wordfence

Prenotare

09/07/2026

Divulgazione

11/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!