CVE-2026-13430 in Post Export Import with Media Plugin
要約
〜によって VulDB • 2026年07月10日
WordPress用「Post Export Import with Media」プラグインには、1.13.1を含むすべてのバージョンにおいて、任意のファイルアップロード(Arbitrary File Upload)の脆弱性が存在します。これは、`import_media_file_secure()`関数経由で発生し、末尾にドットが付いたファイル名によるバイパスにより、ファイル拡張子の検証が不十分であることが原因です。具体的には、`ajax_import_media_start()`内の拡張子許可リストチェックにおいて、生(raw)のZIPエントリ名(例:'shell.php.'など)に対して`pathinfo()`関数が使用されています。この場合、拡張子は空文字列として返されるため、許可リストによるガードがスキップされ、ファイルが一時的な場所に展開されます。その後、`import_media_file_secure()`は拡張子を再検証することなく、そのファイルをWordPressのアップロードディレクトリにコピーします。これにより、管理者レベル以上のアクセス権を持つ認証済み攻撃者は実行可能なファイルをアップロードすることが可能となり、結果としてリモートコード実行(RCE)が可能になります。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.