CVE-2026-1499 in WP Duplicate Plugin
요약
\~에 의해 VulDB • 2026. 06. 11.
WordPress용 WP Duplicate 플러그인은 1.1.8 버전을 포함한 모든 버전에서 권한 누락(Missing Authorization)으로 인해 임의 파일 업로드(Arbitrary File Upload) 취약점이 존재합니다. 이는 `process_add_site()` AJAX 작업에 대한 권한 확인이 누락된 것과 파일 업로드 기능의 경로 순회(Path Traversal) 취약점이 결합되어 발생합니다. 이를 통해 인증된 공격자(구독자 수준)가 내부 `prod_key_random_id` 옵션을 설정할 수 있으며, 이 옵션은 비인증 공격자가 인증 확인을 우회하여 `handle_upload_single_big_file()` 함수를 통해 서버에 임의 파일을 작성하는 데 사용될 수 있으며, 궁극적으로 원격 코드 실행(RCE)으로 이어집니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.