CVE-2026-22428

WordPress Tooth Fairy theme <= 1.16 - Local File Inclusion vulnerability

CVSS 8.1 HIGHEPSS 0.5%CWE-98

En resumen

El tema Tooth Fairy para WordPress, hasta la versión 1.16, tiene una falla que permite a los atacantes incluir y ejecutar archivos arbitrarios del servidor. Esto podría permitir que un atacante acceda a archivos sensibles o ejecute código malicioso en su sitio web.

Detalle técnico

Existe una vulnerabilidad de Local File Inclusion (LFI) en PHP en el manejo inadecuado de parámetros de nombre de archivo en declaraciones include/require del tema. Un atacante no autenticado puede manipular entradas para recorrer el sistema de archivos e incluir archivos PHP o sensibles arbitrarios, lo que potencialmente puede llevar a la divulgación de información o ejecución remota de código según la configuración del servidor y los archivos disponibles.

Resumen generado y traducido por IA a partir de la descripción oficial.

Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion') vulnerability in AncoraThemes Tooth Fairy tooth-fairy allows PHP Local File Inclusion.This issue affects Tooth Fairy: from n/a through <= 1.16.

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Productos afectados

AncoraThemes · Tooth Fairy

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://patchstack.com/database/Wordpress/Theme/tooth-fairy/vulnerability/wordpress-tooth-fairy-theme-1-16-local-file-inclusion-vulnerability?_s_id=cve