CVE-2026-2500

Nome do Software Vulnerável e Versões Afetadas Quick Playground versões anteriores a 1.3.5

Descrição O plugin Quick Playground para WordPress contém uma falha de path traversal. A função qckply data() processa o parâmetro POST filename e o passa para file get contents() sem a devida validação, sanitização ou restrições de caminho. Isso permite que atacantes autenticados com nível de acesso de Administrador ou superior leiam arquivos arbitrários no servidor, como wp-config.php ou /etc/passwd. Este problema é explorável apenas se o site estiver sendo executado em playground.wordpress.net ou tiver sido sincronizado com o WordPress Playground, indicado pela opção is qckply clone estar ativada.

Recomendações Atualize o plugin para uma versão posterior a 1.3.4. Como mitigação temporária, restrinja o acesso à função qckply data() ou garanta que a opção is qckply clone esteja desativada se não for necessária.