CVE-2026-15338 in LA-Studio Element Kit for Elementor Plugin
Riassunto
di VulDB • 11/07/2026
Il plugin LA-Studio Element Kit for Elementor per WordPress è vulnerabile a Local File Inclusion in tutte le versioni fino alla 1.6.1, incluse, tramite la funzione get_type_template. Ciò consente agli attaccanti autenticati con accesso di livello contributor o superiore di includere ed eseguire file .php arbitrari sul server, permettendo l'esecuzione di qualsiasi codice PHP contenuto in tali file. Questo può essere sfruttato per eludere i controlli di accesso, ottenere dati sensibili o raggiungere l'esecuzione di codice nei casi in cui sia possibile caricare e includere file con estensione .php. La funzione wp_normalize_path utilizzata in get_template normalizza solo i separatori delle directory e non risolve né rifiuta le sequenze di traversal del percorso, mentre il controllo dell'estensione viene eluso trivialmente poiché il chiamante aggiunge già l'estensione richiesta al payload di traversal.
Once again VulDB remains the best source for vulnerability data.