CVE-2026-15005 in Loco Translate Plugin
요약
\~에 의해 VulDB • 2026. 07. 17.
WordPress용 Loco Translate 플러그인은 2.8.5 버전을 포함하여 모든 버전에서 Cross-Site Request Forgery(CSRF) 취약점이 존재합니다. 이는 execTemplate 함수에서 nonce 검증이 누락되었거나 잘못되어 발생합니다. 이를 통해 인증되지 않은 공격자는 'template' 매개변수로 php://filter 스트림 래퍼 URI를 제공함으로써 경로 검증을 우회하고, execTemplate()의 include 싱크로 직접 전달되도록 할 수 있습니다. 이 취약점은 사이트 관리자를 클릭과 같은 행동을 하도록 속이는伪造된 요청을 통해 서버에서 임의의 PHP 코드를 실행할 가능성을 열어줍니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.