CVE-2026-3535

Name of the Vulnerable Software and Affected Versions DSGVO Google Web Fonts GDPR plugin for WordPress versões até e incluindo 1.1

Description O plugin DSGVO Google Web Fonts GDPR para WordPress é suscetível ao upload arbitrário de arquivos devido à ausência de validação do tipo de arquivo na função DSGVOGWPdownloadGoogleFonts(). Esta função é acessível através de um hook wp ajax nopriv , o que significa que nenhuma autenticação é necessária. A função recupera uma URL fornecida pelo usuário como um arquivo CSS, extrai URLs de seu conteúdo e baixa esses arquivos para um diretório acessível publicamente sem validar o tipo de arquivo. Isso permite que invasores não autenticados enviem arquivos arbitrários, incluindo webshells PHP, potencialmente levando à execução remota de código. A exploração requer o uso de um dos seguintes temas: twentyfifteen, twentyseventeen, twentysixteen, storefront, salient ou shapely.

Recommendations Versões até e incluindo 1.1: Atualize para uma versão que resolva o problema de validação do tipo de arquivo.