CVE-2026-4280 in Breaking News WP Plugininformação

Sumário

de VulDB • 26/05/2026

O plugin Breaking News WP para WordPress é vulnerável a Local File Inclusion em todas as versões até, e incluindo, a 1.3. Isso ocorre devido ao endpoint AJAX brnwp_ajax_form não possuir verificações de autorização nem validação CSRF, combinado com validação de caminho insuficiente quando o valor da opção brnwp_theme é passado diretamente para uma instrução include() no manipulador do shortcode brnwp_show_breaking_news_wp(). Embora sanitize_text_field() seja aplicado à entrada do usuário, ele não remove sequências de travessia de diretório (../). Isso permite que atacantes autenticados, com acesso de nível Subscriber ou superior, sobrescrevam a opção brnwp_theme com uma carga útil de travessia de diretório (por exemplo, ../../../../etc/passwd) e, subsequentemente, acionem a inclusão de arquivos arbitrários no servidor quando o shortcode for processado.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

16/03/2026

Divulgação

22/04/2026

Moderação

aceite

Entrada

VDB-358825

CPE

pronto

EPSS

0.00164

KEV

não

Atividades

baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4280
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4280
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4280/

VoltarVisão GeralPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!