Platform
wordpress
Component
totalpoll-lite
Opgelost in
4.12.1
CVE-2026-27044 beschrijft een kritieke Remote Code Execution (RCE) kwetsbaarheid in de Total Poll Lite WordPress plugin. Deze kwetsbaarheid, veroorzaakt door een gebrekkige controle over de code generatie (code injectie), stelt aanvallers in staat om code uit te voeren via Remote Code Inclusion. De kwetsbaarheid treft versies van Total Poll Lite van 0.0.0 tot en met 4.12.0. Een patch is beschikbaar en wordt sterk aangeraden.
Deze RCE kwetsbaarheid stelt een aanvaller in staat om willekeurige code uit te voeren op de server waarop de Total Poll Lite plugin is geïnstalleerd. Dit kan leiden tot volledige controle over de WordPress website, inclusief toegang tot gevoelige gegevens, manipulatie van content en installatie van malware. De impact is bijzonder ernstig omdat de kwetsbaarheid Remote Code Inclusion mogelijk maakt, wat betekent dat een aanvaller de kwetsbaarheid op afstand kan misbruiken zonder directe toegang tot het systeem. Een succesvolle exploitatie kan resulteren in dataverlies, reputatieschade en financiële verliezen. De ernst van de kwetsbaarheid wordt versterkt door de populariteit van WordPress en de potentiële impact op een groot aantal websites.
De kwetsbaarheid is openbaar bekend gemaakt op 2026-03-25. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes, maar de kritieke ernst van de kwetsbaarheid maakt het waarschijnlijk dat deze in de toekomst zal worden misbruikt. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven. Er zijn geen publiekelijk beschikbare proof-of-concept exploits bekend.
WordPress websites utilizing the Total Poll Lite plugin, particularly those running versions 0.0.0 through 4.12.0, are at significant risk. Shared hosting environments are particularly vulnerable, as attackers may be able to exploit the vulnerability on multiple websites hosted on the same server. Sites with weak file access controls or inadequate security monitoring are also at increased risk.
• wordpress / composer / npm:
wp plugin list | grep total-poll-lite• wordpress / composer / npm:
grep -r 'include($_REQUEST' /var/www/html/wp-content/plugins/total-poll-lite/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/total-poll-lite/ | grep 'Remote Code Inclusion'disclosure
Exploit Status
EPSS
0.05% (17% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Total Poll Lite plugin naar een beveiligde versie. Controleer de officiële WordPress plugin repository of de website van de ontwikkelaar voor de meest recente versie. Indien een upgrade momenteel niet mogelijk is, overweeg dan tijdelijke mitigaties zoals het beperken van bestandstoegang via .htaccess-regels om Remote Code Inclusion te voorkomen. Implementeer een Web Application Firewall (WAF) met regels die code injectie en Remote Code Inclusion detecteren en blokkeren. Regelmatige scans van de WordPress installatie met behulp van beveiligingsplugins kunnen helpen bij het identificeren van kwetsbare plugins.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te vinden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-27044 is a critical Remote Code Execution vulnerability in the Total Poll Lite WordPress plugin, allowing attackers to execute arbitrary code via Remote Code Inclusion.
You are affected if your WordPress site uses Total Poll Lite versions 0.0.0 through 4.12.0. Upgrade immediately when a patch is available.
Upgrade to the latest version of Total Poll Lite as soon as a patch is released by the vendor. Temporarily disable the plugin until the update is applied.
While no public exploits are currently known, the CRITICAL severity and ease of exploitation suggest it is highly likely to be targeted.
Check the Total Poll Lite website and WordPress plugin repository for official advisories and updates related to CVE-2026-27044.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.