Plataforma
wordpress
Componente
siteorigin-panels
Corrigido em
2.33.6
Uma vulnerabilidade de Inclusão de Arquivo Local (LFI) foi descoberta no plugin Page Builder by SiteOrigin para WordPress. Essa falha permite que atacantes autenticados, com permissões de Contribuidor ou superiores, incluam e executem arquivos arbitrários no servidor. A vulnerabilidade afeta versões do plugin de 0.0.0 até 2.33.5, e a correção foi disponibilizada na versão 2.34.0.
A exploração bem-sucedida desta vulnerabilidade pode levar à execução de código PHP arbitrário no servidor WordPress. Um atacante pode, por exemplo, incluir arquivos de configuração sensíveis, como o arquivo wp-config.php, para obter acesso ao banco de dados. Além disso, a inclusão de arquivos maliciosos pode permitir a modificação de arquivos do sistema, a instalação de backdoors e a tomada de controle total do servidor. A capacidade de executar código arbitrário significa que o impacto pode ser significativo, potencialmente comprometendo a confidencialidade, integridade e disponibilidade do site WordPress e dos dados que ele armazena. A vulnerabilidade é particularmente preocupante porque requer apenas acesso de Contribuidor, um nível de permissão relativamente baixo, tornando-a acessível a um número maior de atacantes.
A vulnerabilidade foi divulgada em 03 de março de 2026. Não há informações disponíveis sobre exploração ativa ou presença na KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de uma prova de conceito (PoC) pública pode aumentar o risco de exploração, portanto, a aplicação das medidas de mitigação é altamente recomendada.
WordPress websites utilizing the Page Builder by SiteOrigin plugin, particularly those with multiple contributors or users with elevated privileges, are at risk. Shared hosting environments where users have limited control over server configuration are also particularly vulnerable, as they may be unable to implement effective mitigation strategies beyond plugin updates.
• wordpress / composer / npm:
wp plugin list | grep 'Page Builder by SiteOrigin'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r 'locate_template(' /var/www/wordpress/wp-content/plugins/page-builder-siteorigin/*• generic web: Check WordPress plugin directory for updated version and security advisories.
disclosure
Status do Exploit
EPSS
0.10% (percentil 28%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin Page Builder by SiteOrigin para a versão 2.34.0 ou superior, que corrige a falha de Inclusão de Arquivo Local. Se a atualização imediata não for possível, considere restringir o acesso ao diretório do plugin e desabilitar o upload de arquivos não confiáveis. Implementar um Web Application Firewall (WAF) com regras para bloquear tentativas de inclusão de arquivos suspeitos pode fornecer uma camada adicional de proteção. Monitore os logs do servidor WordPress em busca de padrões incomuns de acesso a arquivos, como tentativas de incluir arquivos fora do diretório esperado do plugin.
Atualize para a versão 2.34.0, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-2448 is a Local File Inclusion vulnerability affecting the Page Builder by SiteOrigin WordPress plugin, allowing authenticated users to execute arbitrary PHP code.
You are affected if you are using Page Builder by SiteOrigin versions 0.0.0 through 2.33.5. Upgrade to 2.34.0 or later to resolve the issue.
Upgrade the Page Builder by SiteOrigin plugin to version 2.34.0 or later. Consider restricting file upload permissions as a temporary workaround.
While no active exploitation has been confirmed, the vulnerability's nature makes it likely that exploitation attempts will occur. Monitor security advisories.
Refer to the official Page Builder by SiteOrigin plugin documentation and WordPress security announcements for the latest advisory information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.