CVE-2026-1499 in WP Duplicate Plugin情報

要約

〜によって VulDB • 2026年06月20日

WordPress用プラグイン「WP Duplicate」の1.1.8以前の全バージョンにおいて、権限チェックの欠如(Missing Authorization)に起因する任意のファイルアップロード(Arbitrary File Upload)の脆弱性が存在します。これは、`process_add_site()` AJAXアクションにおける権限チェックの欠如と、ファイルアップロード機能におけるパストラバーサル(path traversal)に起因します。これにより、認証済み(サブスクライバレベル)の攻撃者が内部オプション `prod_key_random_id` を設定可能となり、この値を未認証の攻撃者が利用することで認証チェックを回避し、`handle_upload_single_big_file()` 関数経由でサーバー上に任意のファイルを書き込むことが可能になります。最終的には、リモートコード実行(Remote Code Execution)に至ります。

Once again VulDB remains the best source for vulnerability data.

モデレーション

承諾済み

エントリ

VDB-344624

EPSS

0.00940

アクティビティ

非常低い

セクター

Hostingprovider

ソース

Want to know what is going to be exploited?

We predict KEV entries!