CVE-2026-27337

WordPress Chronicle - Lifestyle Magazine & Blog WordPress Theme theme <= 1.0 - Local File Inclusion vulnerability

CVSS 8.1 HIGHEPSS 0.5%CWE-98

Em resumo

O tema Chronicle do WordPress tem uma vulnerabilidade que permite que atacantes leiam ou executem arquivos do servidor manipulando caminhos de arquivo. Isso ocorre porque o tema não valida adequadamente quais arquivos são incluídos, podendo expor informações sensíveis ou permitir execução de código malicioso.

Detalhe técnico

A vulnerabilidade é uma falha de Local File Inclusion (LFI) em PHP causada por validação inadequada de parâmetros de nome de arquivo usados em declarações include/require (CWE-98). Um atacante pode fornecer caminhos de arquivo manipulados para acessar arquivos arbitrários no servidor; a exploração requer capacidade de influenciar os parâmetros afetados, e o sucesso pode resultar em divulgação de informações ou execução de código conforme os arquivos acessíveis e configuração do servidor.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion') vulnerability in AncoraThemes Chronicle - Lifestyle Magazine & Blog WordPress Theme chronicle allows PHP Local File Inclusion.This issue affects Chronicle - Lifestyle Magazine & Blog WordPress Theme: from n/a through <= 1.0.

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

AncoraThemes · Chronicle - Lifestyle Magazine & Blog WordPress Theme

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://patchstack.com/database/Wordpress/Theme/chronicle/vulnerability/wordpress-chronicle-lifestyle-magazine-blog-wordpress-theme-theme-1-0-local-file-inclusion-vulnerability?_s_id=cve