Katalog CVE

CVE-2026-9062

NiskieCVSS 3.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 17 — wyżej niż 17% wszystkich znanych CVE

Streszczenie

Wtyczka Store Locator dla WordPressa w wersjach przed 1.6.9 nie waliduje parametru przed jego użyciem w ścieżce pliku, co pozwala użytkownikom z wysokimi uprawnieniami, takim jak administratorzy, na odczyt dowolnych plików `.php` z serwera.

Ocena ryzyka

Możliwość odczytu plików konfiguracyjnych, które zawierają dane uwierzytelniające do bazy danych oraz klucze autoryzacyjne, stwarza poważne ryzyko dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację wtyczki Store Locator do wersji 1.6.9 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

The Store Locator WordPress plugin before 1.6.9 does not validate a parameter before using it in a file path, allowing high-privileged users such as administrators to read arbitrary `.php` files from the server, including configuration files that contain database credentials and authentication keys.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS