PT-2026-60434 · WordPress · Loco Translate

·

CVE-2026-15005

·

Publicado

2026-07-16

·

Atualizado

2026-07-16

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Loco Translate versões anteriores a 2.8.6
Description O plugin está sujeito a Cross-Site Request Forgery (CSRF), uma falha na qual um invasor engana uma vítima para realizar ações que ela não pretendia. Isso ocorre devido à validação de nonce ausente ou incorreta na função execTemplate(). Um invasor não autenticado pode executar código PHP arbitrário no servidor fornecendo um URI de wrapper de stream php://filter através do parâmetro template. Este método ignora a validação de caminho e é passado diretamente para o include sink dentro da função execTemplate() via uma requisição forjada, desde que um administrador do site seja enganado para clicar em um link malicioso.
Recommendations Atualize o plugin para a versão 2.8.6 ou posterior. Como mitigação temporária, restrinja o acesso à função execTemplate().

Correção

CSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-15005

Produtos afetados

Loco Translate