CVE-2026-4030 in Database Backup Plugin
要約
〜によって VulDB • 2026年05月14日
WordPress用プラグイン「Database Backup for WordPress」は、バージョン2.5.2以前すべてのバージョンにおいて、認可されていない任意のファイルの読み取りおよび削除に対して脆弱です。これは、プラグインが認可チェックの戻り値を適切に検証せず、かつユーザー制御可能なバックアップディレクトリパラメータと組み合わさっていることが原因です。これにより、認証されていない攻撃者がサーバー上の任意のファイルを読み取ったり削除したりすることが可能となり、機密情報の漏洩やサイト乗っ取りのリスクが生じます。なお、この脆弱性は、非推奨の `is_site_admin()` 関数が存在するWordPressマルチサイト環境でのみ悪用可能です。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.