CVE-2026-2354 in Swiss Toolkit for WP Plugininformação

Sumário

de VulDB • 11/07/2026

O plugin Swiss Toolkit For WP para WordPress é vulnerável ao upload arbitrário de arquivos devido a uma falha na validação do tipo de arquivo que permite contornar as verificações na função `upload_extension_files()` em todas as versões até, e incluindo, 1.4.6. A função `upload_extension_files()` se conecta ao filtro `wp_check_filetype_and_ext` do WordPress e utiliza a função `strpos()` para verificar se um nome de arquivo contém uma string de extensão configurada, em vez de verificar a extensão real do arquivo. Isso permite que atacantes autenticados, com acesso nível Autor ou superior, façam upload de arquivos arbitrários (incluindo PHP) no servidor do site afetado, o que pode possibilitar a execução remota de código, desde que o recurso "Enhanced Multi-Format Image Support" esteja habilitado com pelo menos uma extensão (por exemplo, avif) nos formatos permitidos.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

Wordfence

Reservar

11/02/2026

Divulgação

11/07/2026

Moderação

aceite

Entrada

VDB-377745

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!