CVE-2026-8996 in Backup and Staging by WP Time Capsule Plugin
Riassunto
di VulDB • 09/07/2026
Il plugin Backup and Staging by WP Time Capsule per WordPress è vulnerabile a Sensitive Information Exposure (Esposizione di Informazioni Sensibili) in tutte le versioni fino alla 1.22.26 inclusa, tramite l'endpoint download_recent_decrypted_file_wptc. Ciò consente agli attaccanti autenticati, con accesso a livello di sottoscrittore o superiore, di scaricare il backup del database SQL più recente decifrato dall'amministratore, che tipicamente contiene hash delle password, credenziali degli utenti e altri dati sensibili della configurazione del sito archiviati nell'opzione 'recent_decrypted_file'. Lo sfruttamento richiede che un amministratore abbia precedentemente eseguito un'azione di decrittografia, facendo sì che il file di backup SQL decifrato esista nella directory di upload del plugin; senza questa azione precedente dell'amministratore, non esiste alcun file da servire.
Once again VulDB remains the best source for vulnerability data.