CVE-2026-5137
ŚrednieCVSS 4.3Streszczenie
Wtyczka RTMKit (rometheme-for-elementor) dla WordPressa w wersjach do 2.0.7 zawiera podatność na lokalne dołączanie plików (LFI). Problem wynika z niewystarczającej walidacji ścieżki w parametrze 'template' w punkcie końcowym AJAX render_templates, który jest używany bezpośrednio w instrukcji require/include bez sanityzacji.
Ocena ryzyka
Uwierzytelnieni atakujący z dostępem na poziomie Współautora lub wyższym mogą dołączać i wykonywać pliki na serwerze kończące się na _templates.php, co umożliwia wykonanie dowolnego kodu PHP w tych plikach. Może to prowadzić do przejęcia kontroli nad serwerem lub wycieku danych.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę RTMKit do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest dostępna, należy tymczasowo wyłączyć wtyczkę lub ograniczyć dostęp do punktu końcowego render_templates dla nieuprawnionych użytkowników.
Oryginalny opis (angielski, źródło NVD)
The RTMKit (rometheme-for-elementor) plugin for WordPress is vulnerable to Local File Inclusion in versions up to, and including, 2.0.7 This is due to insufficient path validation on the 'template' parameter in the render_templates AJAX endpoint, which is used directly in a require/include statement without sanitization. This makes it possible for authenticated attackers, with Contributor-level access and above, to include and execute files on the server ending in _templates.php, allowing the execution of any PHP code in those files.

