Kritische RCE-Lücke in WordPress Plugin "WP Duplicate" - CVE-2026-1499
⚠️ CVE-Referenzen:
CVE-2026-1499
Zusammenfassung
Das WordPress-Plugin "WP Duplicate" weist eine kritische Sicherheitslücke auf, die es Angreifern ermöglicht, beliebige Dateien auf dem Server hochzuladen und so potentiell die Kontrolle über das System zu erlangen. Die Schwachstelle betrifft die AJAX-Aktion "process_add_site()", die unzureichend abgesichert ist. Mit Abonnenten-Rechten lässt sich die interne Option "prod_key_random_id" manipulieren, um die Dateienupload-Funktion "handle_upload_single_big_file()" auszunutzen. Ein Patch ist dringend erforderlich, um diese Sicherheitslücke zu schließen.
WordPress - WP Duplicate – WordPress Migration Plugin - CRITICAL - CVE-2026-1499.
The WP Duplicate plugin for WordPress is susceptible to an arbitrary file upload vulnerability due to inadequate authorization checks. Specifically, the `process_add_site()` AJAX action is exposed, allowing attackers with subscriber-level access to manipulate the internal `prod_key_random_id` option. This can be exploited by unauthenticated attackers to circumvent security measures and upload arbitrary files to the server through the `handle_upload_single_big_file()` function, potentially leading to remote code execution.
Quelle: securityvulnerability.io