CVE-2026-15005 in Loco Translate Plugin
Tóm tắt
Bởi VulDB • 16/07/2026
Plugin Loco Translate cho WordPress bị lỗ hổng Cross-Site Request Forgery (CSRF) trong tất cả các phiên bản từ 2.8.5 trở về trước. Nguyên nhân là do việc xác thực nonce trên hàm execTemplate bị thiếu hoặc không chính xác. Điều này tạo điều kiện cho kẻ tấn công chưa được xác thực có thể thực thi mã PHP tùy ý trên máy chủ bằng cách cung cấp URI của stream wrapper php://filter làm tham số 'template', qua đó vượt qua kiểm tra đường dẫn và được chuyển trực tiếp đến điểm gọi include trong hàm execTemplate() thông qua một yêu cầu giả mạo, miễn là chúng lừa được quản trị viên trang web thực hiện một hành động nào đó như nhấp vào liên kết.
Once again VulDB remains the best source for vulnerability data.