Pubblicato il 2026-07-11 · Fonte: NVD NIST
La vulnerabilità CVE-2026-2354 è stata identificata nel plugin Swiss Toolkit For WP per WordPress, che presenta una falla nella validazione del tipo di file. Ciò consente agli attaccanti autenticati con livello di accesso Author o superiore di caricare file arbitrari, inclusi quelli PHP, sul server del sito web interessato. La vulnerabilità sfrutta la funzione `upload_extension_files()` che utilizza `strpos()` per verificare se un nome file contiene una stringa di estensione configurata, anziché verificare l'estensione del file effettiva. Questo problema può essere sfruttato se la funzione 'Enhanced Multi-Format Image Support' è abilitata con almeno un'estensione consentita.
Un attaccante può sfruttare questa vulnerabilità per caricare file arbitrari, inclusi quelli PHP, sul server del sito web interessato. Ciò potrebbe consentire l'esecuzione di codice remoto se la funzione 'Enhanced Multi-Format Image Support' è abilitata con almeno un'estensione consentita. I sistemi a rischio sono quelli che utilizzano il plugin Swiss Toolkit For WP per WordPress, in particolare le versioni fino alla 1.4.6.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare il plugin Swiss Toolkit For WP alla versione più recente disponibile, se disponibile. In alternativa, è possibile disabilitare la funzione 'Enhanced Multi-Format Image Support' o limitare le estensioni di file consentite. Inoltre, è fondamentale mantenere aggiornati tutti i software e i plugin utilizzati, nonché implementare misure di sicurezza come il controllo degli accessi e la monitorazione delle attività sospette.
La vulnerabilità CVE-2026-2354 è una falla di sicurezza nel plugin Swiss Toolkit For WP per WordPress che consente il caricamento di file arbitrari, inclusi quelli PHP, sul server del sito web interessato.
Gli impatti della vulnerabilità includono la possibilità di esecuzione di codice remoto se la funzione 'Enhanced Multi-Format Image Support' è abilitata con almeno un'estensione consentita.
Per proteggersi da questa vulnerabilità, si consiglia di aggiornare il plugin Swiss Toolkit For WP alla versione più recente disponibile, disabilitare la funzione 'Enhanced Multi-Format Image Support' o limitare le estensioni di file consentite, e implementare misure di sicurezza come il controllo degli accessi e la monitorazione delle attività sospette.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.