CVE-2026-22369

WordPress Ironfit theme <= 1.5 - Local File Inclusion vulnerability

CVSS 8.1 HIGHEPSS 0.5%CWE-98

En resumen

El tema WordPress Ironfit versión 1.5 y anteriores tiene una falla que permite a los atacantes incluir y ejecutar archivos locales arbitrarios en el servidor a través de un manejo inadecuado de archivos en PHP. Esto puede llevar al acceso no autorizado a datos sensibles o ejecución de código malicioso.

Detalle técnico

Vulnerabilidad CWE-98 en el mecanismo include/require de PHP del tema Ironfit permite ataques de inclusión de archivo local (LFI) sin autenticación. La vulnerabilidad resulta de la validación insuficiente de parámetros de nombre de archivo, permitiendo que atacantes naveguen por el sistema de archivos del servidor y ejecuten archivos PHP arbitrarios. La explotación exitosa puede resultar en divulgación de información, ejecución de código arbitrario o compromiso total del servidor.

Resumen generado y traducido por IA a partir de la descripción oficial.

Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion') vulnerability in AncoraThemes Ironfit ironfit allows PHP Local File Inclusion.This issue affects Ironfit: from n/a through <= 1.5.

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Productos afectados

AncoraThemes · Ironfit

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://patchstack.com/database/Wordpress/Theme/ironfit/vulnerability/wordpress-ironfit-theme-1-5-local-file-inclusion-vulnerability?_s_id=cve