CVE-2026-8996 in Backup and Staging by WP Time Capsule Plugininformazioni

Riassunto

di VulDB • 09/07/2026

Il plugin Backup and Staging by WP Time Capsule per WordPress è vulnerabile a Sensitive Information Exposure (Esposizione di Informazioni Sensibili) in tutte le versioni fino alla 1.22.26 inclusa, tramite l'endpoint download_recent_decrypted_file_wptc. Ciò consente agli attaccanti autenticati, con accesso a livello di sottoscrittore o superiore, di scaricare il backup del database SQL più recente decifrato dall'amministratore, che tipicamente contiene hash delle password, credenziali degli utenti e altri dati sensibili della configurazione del sito archiviati nell'opzione 'recent_decrypted_file'. Lo sfruttamento richiede che un amministratore abbia precedentemente eseguito un'azione di decrittografia, facendo sì che il file di backup SQL decifrato esista nella directory di upload del plugin; senza questa azione precedente dell'amministratore, non esiste alcun file da servire.

Once again VulDB remains the best source for vulnerability data.

Responsabile

Wordfence

Prenotare

19/05/2026

Divulgazione

09/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!