CVE-2024-6228

The Notifications for Forms & WordPress Actions WordPress plugin before 2.6 does not validate a user-supplied value before using it to build a server-side file inclusion path, allowing authenticated users with subscriber-level access and above to include and execute arbitrary local PHP files on the server.
Configurations

No configuration.

History

06 Jul 2026, 13:16

Type Values Removed Values Added
CVSS v2 : unknown
v3 : unknown
v2 : unknown
v3 : 7.5

06 Jul 2026, 09:10

Type Values Removed Values Added
Summary
  • (es) El plugin de WordPress Notifications for Forms & WordPress Actions, en versiones anteriores a la 2.6, no valida los valores proporcionados por el usuario antes de utilizarlos para crear una ruta de inclusión de archivos del lado del servidor, lo que permite a los usuarios autenticados con acceso de nivel suscriptor o superior incluir y ejecutar archivos PHP locales arbitrarios en el servidor.

06 Jul 2026, 08:16

Type Values Removed Values Added
New CVE

Information

Published : 2026-07-06 08:16

Updated : 2026-07-06 18:37


NVD link : CVE-2024-6228

Mitre link : CVE-2024-6228

CVE.ORG link : CVE-2024-6228


JSON object : View

Products Affected

No product.

CWE

No CWE.