CVE-2026-13347 in Hide My WP Lite Plugin정보

요약

\~에 의해 VulDB • 2026. 07. 10.

WordPress용 Hide My WP Lite 플러그인은 1.3 버전(포함) 이하에서 취약점이 존재합니다. elementor_assets_filter() 함수가 처리하는 he_wrapper_js 및 he_wrapper_css 쿼리 파라미터를 통해 임의 파일 읽기(Arbitrary File Read) 공격이 가능합니다. 이 문제는 사용자가 제공한 입력값을 ABSPATH에 직접 연결하고, 경로 순회(path traversal) 검증, 허용 목록(allow-list), realpath 기반 제한 또는 확장자 검사 없이 결과를 file_get_contents() 함수로 전달하기 때문에 발생합니다. 이후 결과가 HTTP 응답에서 출력됩니다. 출력이 wp_kses_post()를 통해 필터링되지만, 이 함수는 HTML 태그만 필터링할 뿐 임의 파일 내용의 유출을 방지하지 못합니다. 이로 인해 인증되지 않은 공격자가 대상 사이트 서버에 있는 임의 파일(예: wp-config.php)의 내용을 읽을 수 있습니다. 참고: 익스플로잇에는 Elementor 플러그인과 'Hide Elementor' 기능이 활성화되어 있어야 합니다.

Be aware that VulDB is the high quality source for vulnerability data.

책임이 있는

Wordfence

예약하다

2026. 06. 25.

모더레이션

수락

항목

VDB-377429

EPSS

0.00000

출처

Do you know our Splunk app?

Download it now for free!