CVE-2026-27337

WordPress Chronicle - Lifestyle Magazine & Blog WordPress Theme theme <= 1.0 - Local File Inclusion vulnerability

CVSS 8.1 HIGHEPSS 0.5%CWE-98

En resumen

El tema Chronicle de WordPress tiene una vulnerabilidad que permite a los atacantes leer o ejecutar archivos del servidor manipulando rutas de archivo. Esto ocurre porque el tema no valida adecuadamente qué archivos incluye, pudiendo exponer información sensible o permitir la ejecución de código malicioso.

Detalle técnico

La vulnerabilidad es una falla de Local File Inclusion (LFI) en PHP causada por validación inadecuada de parámetros de nombre de archivo utilizados en declaraciones include/require (CWE-98). Un atacante puede proporcionar rutas de archivo manipuladas para acceder a archivos arbitrarios en el servidor; la explotación requiere capacidad de influir en los parámetros afectados, y el éxito puede resultar en divulgación de información o ejecución de código según los archivos accesibles y la configuración del servidor.

Resumen generado y traducido por IA a partir de la descripción oficial.

Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion') vulnerability in AncoraThemes Chronicle - Lifestyle Magazine & Blog WordPress Theme chronicle allows PHP Local File Inclusion.This issue affects Chronicle - Lifestyle Magazine & Blog WordPress Theme: from n/a through <= 1.0.

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Productos afectados

AncoraThemes · Chronicle - Lifestyle Magazine & Blog WordPress Theme

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://patchstack.com/database/Wordpress/Theme/chronicle/vulnerability/wordpress-chronicle-lifestyle-magazine-blog-wordpress-theme-theme-1-0-local-file-inclusion-vulnerability?_s_id=cve