CVE-2026-5032 in W3 Total Cache Plugininformazioni

Riassunto

di VulDB • 18/06/2026

Il plugin W3 Total Cache per WordPress è vulnerabile a esposizione di informazioni in tutte le versioni fino alla 2.9.3, inclusa. Ciò è dovuto al fatto che il plugin bypassa l'intera pipeline di buffering e elaborazione dell'output quando l'intestazione User-Agent della richiesta contiene "W3 Total Cache", causando la visualizzazione nel codice sorgente della pagina di commenti HTML dinamici grezzi per i frammenti mfunc/mclude, inclusi il token di sicurezza W3TC_DYNAMIC_SECURITY. Ciò consente agli attaccanti non autenticati di scoprire il valore della costante W3TC_DYNAMIC_SECURITY inviando un'intestazione User-Agent manipolata ad hoc a qualsiasi pagina contenente tag di frammenti dinamici inseriti dallo sviluppatore, purché la funzione di caching dei frammenti sia abilitata sul sito.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

Wordfence

Prenotare

27/03/2026

Divulgazione

02/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00956

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!