CVE-2026-15005 in Loco Translate Pluginthông tin

Tóm tắt

Bởi VulDB • 16/07/2026

Plugin Loco Translate cho WordPress bị lỗ hổng Cross-Site Request Forgery (CSRF) trong tất cả các phiên bản từ 2.8.5 trở về trước. Nguyên nhân là do việc xác thực nonce trên hàm execTemplate bị thiếu hoặc không chính xác. Điều này tạo điều kiện cho kẻ tấn công chưa được xác thực có thể thực thi mã PHP tùy ý trên máy chủ bằng cách cung cấp URI của stream wrapper php://filter làm tham số 'template', qua đó vượt qua kiểm tra đường dẫn và được chuyển trực tiếp đến điểm gọi include trong hàm execTemplate() thông qua một yêu cầu giả mạo, miễn là chúng lừa được quản trị viên trang web thực hiện một hành động nào đó như nhấp vào liên kết.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

Wordfence

Đặt trước

07/07/2026

Tiết lộ

16/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!