Platform
wordpress
Component
siteorigin-panels
Opgelost in
2.33.6
CVE-2026-2448 beschrijft een Local File Inclusion (LFI) kwetsbaarheid in de Page Builder by SiteOrigin plugin voor WordPress. Deze kwetsbaarheid stelt geauthenticeerde aanvallers, met minimaal Contributor-niveau toegang, in staat om willekeurige bestanden op de server te includeren en uit te voeren. De kwetsbaarheid treedt op in versies van de plugin van 0.0.0 tot en met 2.33.5. Een fix is beschikbaar in versie 2.34.0.
Een succesvolle exploitatie van deze kwetsbaarheid kan ernstige gevolgen hebben. Een aanvaller met Contributor-niveau toegang kan de kwetsbaarheid misbruiken om willekeurige PHP-code uit te voeren op de server. Dit kan leiden tot het stelen van gevoelige data, het manipuleren van de WordPress-installatie, het compromitteren van de hele website en zelfs het verkrijgen van volledige controle over de server. De mogelijkheid om PHP-code uit te voeren, maakt dit een bijzonder gevaarlijke kwetsbaarheid, vergelijkbaar met exploits die toegang tot de serverbasis kunnen verkrijgen. Het risico is aanzienlijk, vooral op websites die afhankelijk zijn van de Page Builder by SiteOrigin plugin voor het beheer van pagina-indelingen.
Deze kwetsbaarheid werd publiek bekendgemaakt op 3 maart 2026. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de ernst van de kwetsbaarheid en de mogelijkheid om PHP-code uit te voeren, suggereren een potentieel hoog risico. Het is onwaarschijnlijk dat deze kwetsbaarheid op de CISA KEV catalogus zal worden opgenomen, tenzij er bewijs van actieve exploitatie verschijnt.
WordPress websites utilizing the Page Builder by SiteOrigin plugin, particularly those with multiple contributors or users with elevated privileges, are at risk. Shared hosting environments where users have limited control over server configuration are also particularly vulnerable, as they may be unable to implement effective mitigation strategies beyond plugin updates.
• wordpress / composer / npm:
wp plugin list | grep 'Page Builder by SiteOrigin'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r 'locate_template(' /var/www/wordpress/wp-content/plugins/page-builder-siteorigin/*• generic web: Check WordPress plugin directory for updated version and security advisories.
disclosure
Exploit Status
EPSS
0.10% (28% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Page Builder by SiteOrigin plugin naar versie 2.34.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de plugin-directory via een web application firewall (WAF) of proxy server. Configureer de WAF om verzoeken naar de locatetemplate() functie te blokkeren, of implementeer een proxy die alle verzoeken naar de plugin filtert. Controleer ook de WordPress-configuratie op onnodige permissies en zorg ervoor dat de plugin-directory niet direct toegankelijk is via het web. Na de upgrade, controleer de WordPress-logbestanden op verdachte activiteiten en verifieer dat de kwetsbaarheid is verholpen door te proberen de locatetemplate() functie met een onbenaming bestand aan te roepen.
Update naar versie 2.34.0, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-2448 is a Local File Inclusion vulnerability affecting the Page Builder by SiteOrigin WordPress plugin, allowing authenticated users to execute arbitrary PHP code.
You are affected if you are using Page Builder by SiteOrigin versions 0.0.0 through 2.33.5. Upgrade to 2.34.0 or later to resolve the issue.
Upgrade the Page Builder by SiteOrigin plugin to version 2.34.0 or later. Consider restricting file upload permissions as a temporary workaround.
While no active exploitation has been confirmed, the vulnerability's nature makes it likely that exploitation attempts will occur. Monitor security advisories.
Refer to the official Page Builder by SiteOrigin plugin documentation and WordPress security announcements for the latest advisory information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.