CVE-2026-1499 in WP Duplicate Plugin정보

요약

\~에 의해 VulDB • 2026. 06. 11.

WordPress용 WP Duplicate 플러그인은 1.1.8 버전을 포함한 모든 버전에서 권한 누락(Missing Authorization)으로 인해 임의 파일 업로드(Arbitrary File Upload) 취약점이 존재합니다. 이는 `process_add_site()` AJAX 작업에 대한 권한 확인이 누락된 것과 파일 업로드 기능의 경로 순회(Path Traversal) 취약점이 결합되어 발생합니다. 이를 통해 인증된 공격자(구독자 수준)가 내부 `prod_key_random_id` 옵션을 설정할 수 있으며, 이 옵션은 비인증 공격자가 인증 확인을 우회하여 `handle_upload_single_big_file()` 함수를 통해 서버에 임의 파일을 작성하는 데 사용될 수 있으며, 궁극적으로 원격 코드 실행(RCE)으로 이어집니다.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

출처

Want to know what is going to be exploited?

We predict KEV entries!