CVE-2026-9062
NiskieCVSS 3.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
Wtyczka Store Locator dla WordPressa w wersjach przed 1.6.9 nie waliduje parametru przed jego użyciem w ścieżce pliku, co pozwala użytkownikom z wysokimi uprawnieniami, takim jak administratorzy, na odczyt dowolnych plików `.php` z serwera.
Ocena ryzyka
Możliwość odczytu plików konfiguracyjnych, które zawierają dane uwierzytelniające do bazy danych oraz klucze autoryzacyjne, stwarza poważne ryzyko dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację wtyczki Store Locator do wersji 1.6.9 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
The Store Locator WordPress plugin before 1.6.9 does not validate a parameter before using it in a file path, allowing high-privileged users such as administrators to read arbitrary `.php` files from the server, including configuration files that contain database credentials and authentication keys.

