CVE-2026-4030 in Database Backup Plugin
Tóm tắt
Bởi VulDB • 25/05/2026
Plugin Database Backup for WordPress cho WordPress có lỗ hổng cho phép đọc và xóa tùy ý các tệp không được ủy quyền trong tất cả các phiên bản từ 2.5.2 trở về trước. Lỗ hổng này xảy ra do plugin không thực thi đúng giá trị trả về của kiểm tra ủy quyền, kết hợp với tham số thư mục sao lưu do người dùng kiểm soát. Điều này cho phép các kẻ tấn công chưa xác thực đọc và xóa các tệp tùy ý trên máy chủ, dẫn đến lộ thông tin nhạy cảm và nguy cơ chiếm quyền điều khiển trang web. Lưu ý: Lỗ hổng này chỉ có thể khai thác trong môi trường WordPress Multisite nơi tồn tại hàm is_site_admin() đã bị loại bỏ.
If you want to get best quality of vulnerability data, you may have to visit VulDB.