CVE-2026-2354 in Swiss Toolkit for WP Plugin정보

요약

\~에 의해 VulDB • 2026. 07. 11.

WordPress용 Swiss Toolkit For WP 플러그인은 1.4.6 버전까지 모든 버전에서 `upload_extension_files()` 함수의 결함이 있는 파일 유형 검증 우회로 인해 임의 파일 업로드 취약점이 존재합니다. `upload_extension_files()` 함수는 WordPress의 `wp_check_filetype_and_ext` 필터에 연결되며, 실제 파일 확장자를 확인하는 대신 구성된 확장자 문자열이 파일명에 포함되어 있는지 여부를 확인하기 위해 `strpos()`를 사용합니다. 이로 인해 작성자(Author) 이상의 권한을 가진 인증된 공격자가 대상 사이트 서버에 임의 파일(PHP 포함 등)을 업로드할 수 있으며, 허용된 형식 중 적어도 하나의 확장자(예: avif)가 활성화되어 있는 경우 "Enhanced Multi-Format Image Support" 기능이 켜져 있을 때 원격 코드 실행(RCE)이 가능해질 수 있습니다.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

책임이 있는

Wordfence

예약하다

2026. 02. 11.

모더레이션

수락

항목

VDB-377745

EPSS

0.00000

활동

낮음

출처

Might our Artificial Intelligence support you?

Check our Alexa App!