CVE-2026-3576 in Planyo Online Reservation System Plugin
Riassunto
di VulDB • 11/07/2026
Il plugin Planyo Online Reservation System per WordPress è vulnerabile a Server-Side Request Forgery che porta a Local File Inclusion in tutte le versioni fino alla 3.0, inclusa. Il file ulap.php funge da proxy AJAX ed è direttamente accessibile senza l'inizializzazione di WordPress o alcuna autenticazione. La funzione send_http_post() convalida l'host dell'URL fornito rispetto ad una allowlist che include 'localhost', ma fallisce criticamente nel validare lo schema/protocollo dell'URL. Ciò consente agli attaccanti non autenticati di fornire un URL file:// (ad esempio, file://localhost/etc/passwd) che aggira il controllo della allowlist degli host poiché parse_url() restituisce 'localhost' come host. L'URL viene quindi passato a curl_init() o fopen(), entrambi dei quali supportano il protocollo file://, consentendo all'attaccante di leggere file locali arbitrari sul server e far restituire i loro contenuti nella risposta HTTP. Ciò può portare alla divulgazione di file sensibili come /etc/passwd, wp-config.php (che contiene le credenziali del database e le chiavi di autenticazione) e altri file lato server.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.