PT-2026-55284 · WordPress · Tinypng

Lhking

·

Publicado

2026-07-02

·

Atualizado

2026-07-02

·

CVE-2026-7311

CVSS v3.1

8.1

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas TinyPNG – JPEG, PNG & WebP image compression plugin for WordPress versões anteriores a 3.6.14
Descrição A validação insuficiente do caminho do arquivo na função delete converted image size() permite que atacantes autenticados com nível de acesso de autor ou superior excluam arquivos arbitrários no servidor. Isso pode ser feito injetando um caminho de arquivo do servidor no campo convert.path do post meta tiny compress images em um anexo de propriedade do atacante e, em seguida, acionando a exclusão do anexo. A exclusão de arquivos críticos, como o wp-config.php, pode levar à execução remota de código.
Recomendações Atualize o plugin para a versão 3.6.14 ou posterior.

Correção

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-7311

Produtos afetados

Tinypng