CRITICAL✓ PATCH🇬🇧 English

CVE-2026-28043

PHP Local File Inclusion w motywie WordPress Healer (wersje do 1.0.0)

CVSS 9.8v3.1pub. 2026-03-05upd. 2026-04-22

Motyw WordPress 'Healer - Doctor, Clinic & Medical' w wersji do 1.0.0 zawiera krytyczną podatność PHP Local File Inclusion (LFI), która pozwala nieuwierzytelnionemu atakującemu na dołączanie lokalnych plików z serwera. Podatność nie wymaga żadnych uprawnień ani interakcji użytkownika, co czyni ją wyjątkowo niebezpieczną.

Pokaż oryginał (EN)

Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion') vulnerability in ThemeREX Healer - Doctor, Clinic & Medical WordPress Theme healer allows PHP Local File Inclusion.This issue affects Healer - Doctor, Clinic & Medical WordPress Theme: from n/a through <= 1.0.0.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej kontroli nazwy pliku przekazywanej do instrukcji include/require w kodzie PHP motywu (CWE-98). Atakujący może dostarczyć spreparowane dane wejściowe, które manipulują ścieżką dołączanego pliku, zmuszając serwer do załadowania dowolnego pliku lokalnego. Może to prowadzić do odczytu wrażliwych plików systemowych lub wykonania złośliwego kodu, jeśli atakujący uzyska wcześniej możliwość umieszczenia pliku na serwerze.

Skutki

Atakujący może odczytać poufne pliki z serwera (np. konfigurację bazy danych, dane uwierzytelniające) oraz potencjalnie wykonać zdalny kod, co prowadzi do pełnego przejęcia kontroli nad systemem — naruszając poufność, integralność i dostępność.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się dezaktywację motywu lub ograniczenie dostępu do witryny. Szczegółowe informacje dostępne są w bazie Patchstack.

Kogo dotyczy

Motyw WordPress 'Healer - Doctor, Clinic & Medical WordPress Theme' autorstwa ThemeREX, wersje od n/a do 1.0.0 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje