CVE-2026-15338 in LA-Studio Element Kit for Elementor Plugin정보

요약

\~에 의해 VulDB • 2026. 07. 11.

WordPress용 Elementor 플러그인인 LA-Studio Element Kit for Elementor은 get_type_template 함수를 통해 모든 버전(1.6.1 포함)에서 로컬 파일 인클루전(Local File Inclusion, LFI) 취약점이 존재합니다. 이로 인해 기여자(contributor) 이상의 권한을 가진 인증된 공격자가 서버 임의 .php 파일을 인클루드하고 실행할 수 있으며, 해당 파일 내 PHP 코드를 모두 실행할 수 있습니다. 이는 접근 제어 우회, 민감한 데이터 획득 또는 .php 파일 유형이 업로드 및 인클루드될 경우 코드 실행을 달성하는 데 사용될 수 있습니다. get_template에서 사용되는 wp_normalize_path 함수는 디렉토리 구분자만 정규화하며 경로 순회(path traversal) 시퀀스를 해결하거나 거부하지 않습니다. 또한 호출자가 이미 트래버설 페이로드에 필요한 확장자를 붙이기 때문에, 확장자 검사는 쉽게 우회됩니다.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

책임이 있는

Wordfence

예약하다

2026. 07. 09.

모더레이션

수락

항목

VDB-377726

EPSS

0.00000

활동

낮음

출처

Do you need the next level of professionalism?

Upgrade your account now!