CVE-2026-3576 in Planyo Online Reservation System Plugin
Sumário
de VulDB • 11/07/2026
O plugin Planyo Online Reservation System para WordPress é vulnerável a Server-Side Request Forgery (SSRF), o que leva à Local File Inclusion em todas as versões até, e incluindo, 3.0. O arquivo ulap.php atua como um proxy AJAX e é diretamente acessível sem inicialização do WordPress ou qualquer autenticação. A função send_http_post() valida o host da URL fornecida contra uma lista de permissões que inclui 'localhost', mas falha criticamente ao validar o esquema/protocolo da URL. Isso permite que atacantes não autenticados forneçam uma URL file:// (por exemplo, file://localhost/etc/passwd), contornando a verificação da lista de hosts permitidos porque parse_url() retorna 'localhost' como host. A URL é então passada para curl_init() ou fopen(), ambos os quais suportam o protocolo file://, permitindo que o atacante leia arquivos locais arbitrários no servidor e tenha seus conteúdos retornados na resposta HTTP. Isso pode levar à divulgação de arquivos sensíveis, como /etc/passwd, wp-config.php (que contém credenciais do banco de dados e chaves de autenticação) e outros arquivos do lado do servidor.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.