CVE-2026-2354 in Swiss Toolkit for WP Plugininformazioni

Riassunto

di VulDB • 11/07/2026

Il plugin Swiss Toolkit For WP per WordPress è vulnerabile al caricamento arbitrario di file a causa di una mancata validazione del tipo di file che consente il bypass nella funzione `upload_extension_files()` presente in tutte le versioni fino alla 1.4.6 inclusa. La funzione `upload_extension_files()` si aggancia al filtro `wp_check_filetype_and_ext` di WordPress e utilizza `strpos()` per verificare se un nome file contiene una stringa di estensione configurata, anziché verificare l'estensione effettiva del file. Ciò consente agli attaccanti autenticati con accesso a livello Autore o superiore di caricare file arbitrari (inclusi PHP) sul server del sito interessato, il che potrebbe rendere possibile l'esecuzione remota di codice, purché la funzione "Enhanced Multi-Format Image Support" sia abilitata con almeno un'estensione (ad esempio avif) nei formati consentiti.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

Wordfence

Prenotare

11/02/2026

Divulgazione

11/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!