Pubblicato il 2026-07-16 · Fonte: NVD NIST
Il plugin Loco Translate per WordPress è vulnerabile a Cross-Site Request Forgery (CSRF) a causa della mancanza di validazione nonce corretta nella funzione execTemplate. Ciò consente a un attaccante non autenticato di eseguire codice PHP arbitrario sul server, fornendo un URI php://filter stream wrapper come parametro 'template'. La versione interessata è la 2.8.5 e precedenti. La vulnerabilità non è ancora stata sfruttata attivamente.
Un attaccante può sfruttare questa vulnerabilità per eseguire codice PHP arbitrario sul server, il che può portare a conseguenze gravi come l'accesso non autorizzato ai dati, la modifica del codice del sito web e altri attacchi di tipo malware. I sistemi a rischio sono quelli che utilizzano il plugin Loco Translate per WordPress in versioni fino alla 2.8.5.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare il plugin Loco Translate per WordPress alla versione più recente disponibile. Inoltre, è importante implementare pratiche di sicurezza generali come il monitoraggio regolare dei log di accesso, l'utilizzo di firewall e l'applicazione di patch di sicurezza regolarmente.
La vulnerabilità CVE-2026-15005 è una vulnerabilità di Cross-Site Request Forgery (CSRF) nel plugin Loco Translate per WordPress che consente a un attaccante di eseguire codice PHP arbitrario sul server.
Le versioni interessate sono tutte le versioni fino alla 2.8.5.
Per proteggersi da questa vulnerabilità, è necessario aggiornare il plugin Loco Translate per WordPress alla versione più recente disponibile e implementare pratiche di sicurezza generali come il monitoraggio regolare dei log di accesso e l'utilizzo di firewall.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.