CVE-2026-1921

Nome do Software Vulnerável e Versões Afetadas Loco Translate versões anteriores a 2.8.3

Descrição O plugin Loco Translate para WordPress contém uma falha de path traversal. Atacantes autenticados com acesso de nível Translator ou superior (exigindo a capacidade loco admin) podem ler arquivos .php, .js, .json e .twig arbitrários do sistema de arquivos do servidor, excluindo o wp-config.php. Isso ocorre porque a função findSourceFile() não valida se o caminho resolvido permanece no diretório pretendido ao processar a variável ref através da rota AJAX 'fsReference', permitindo o uso de sequências ../ para acessar arquivos fora do diretório de tradução.

Recomendações Atualize o plugin para uma versão posterior a 2.8.2. Como medida paliativa temporária, restrinja o acesso à rota AJAX 'fsReference' ou limite os usuários com a capacidade loco admin.