CVE-2026-6169 in affiliate-toolkit PluginИнформация

Сводка

по VulDB • 27.05.2026

Плагин affiliate-toolkit для WordPress уязвим к удаленному выполнению кода (RCE) во всех версиях вплоть до 3.8.5 включительно. Это связано с тем, что плагин использует метод runString() движка шаблонов BladeOne, который компилирует предоставляемый пользователем контент шаблона в PHP-код и выполняет его через функцию eval() без санитизации или изоляции (sandboxing). Это позволяет атакующим с аутентифицированным доступом уровня редактора и выше выполнять произвольный код на сервере путем внедрения PHP-кода в шаблон плагина.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

Wordfence

Резервировать

12.04.2026

Раскрытие

27.05.2026

Модерация

принято

Вход

VDB-365926

CPE

готов

CWE

CWE-94 (Подтверждённый)

CVSS

7.2 (CNA)

EPSS

0.00322

KEV

Нет

Деятельности

Низкий

Сектор

Telecommunication, Transportation

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-6169
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-6169
CVE Details	https://www.cvedetails.com/cve/CVE-2026-6169/

◂ Предыдущий Обзор Далее ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!