CVE-2026-13347 in Hide My WP Lite Plugin
要約
〜によって VulDB • 2026年07月10日
WordPress用プラグイン「Hide My WP Lite」には、1.3以降のバージョンにおいて、任意ファイル読み取り(Arbitrary File Read)の脆弱性が存在します。これは、elementor_assets_filter()関数によって処理されるhe_wrapper_jsおよびhe_wrapper_cssクエリパラメータを介して発生します。この問題は、ユーザー入力が直接ABSPATHに連結され、パストラバーサルの検証、許可リスト(allow-list)、realpathによる制限、または拡張子のチェックを行わずにfile_get_contents()関数に渡されることに起因しています。その後、その結果がHTTPレスポンス内でエコーされます。出力はwp_kses_post()を介してフィルタリングされていますが、この関数はHTMLタグのみをフィルタリングし、任意のファイル内容の開示を防ぐものではありません。これにより、認証されていない攻撃者は影響を受けるサイトサーバー上の任意のファイル(例:wp-config.phpなど)の内容を読み取ることが可能になります。なお、エクスプロイトにはElementorプラグインと「Hide Elementor」機能の有効化が必要です。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.