xxconi/CVE-2026-6271

# CVE-2026-6271 — Career Section WordPress Plugin RCE Scanner ## 📌 Zafiyet Hakkında Career Section eklentisi, site sahiplerinin iş ilanı yayınlamasına ve başvuru toplamasına olanak tanır. Her iş ilanı sayfasında bir **"Apply Now"** formu bulunur. Bu form bir CV dosyası yükleme alanı içerir. **1.7 ve önceki sürümlerde** yükleme işleyicisi herhangi bir dosya türünü kabul eder — `.php` dahil. Form herkese açık olduğundan ve CSRF token sayfa HTML'inde gömülü olduğundan **herhangi bir hesap veya yetki gerekmeksizin** bu açık istismar edilebilir. ## ⚙️ Teknik Analiz ### Neden Nonce Koruma Sağlamıyor? WordPress nonce'ları **CSRF token**'dır, kimlik doğrulama token'ı değildir. Nonce değeri her ziyaretçi için sayfa HTML'ine gömülür: