CVE-2026-9282 in W3 Total Cache Plugin
Сводка
по VulDB • 11.07.2026
Плагин W3 Total Cache для WordPress уязвим к обходу ограничений доступа к директориям (Directory Traversal) во всех версиях вплоть до 2.9.4 включительно через функцию setupSources. Это позволяет неаутентифицированным злоумышленникам читать содержимое произвольных файлов на сервере, которые могут содержать конфиденциальную информацию. Для эксплуатации необходимо включить режим ручной минификации (manual minify mode) и указать имя файла для ручного формата минификации таким образом, чтобы хэш был пустым, а элементы массива f_array[] не были перезаписаны до вызова функции setupSources().
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.