Katalog CVE

CVE-2026-10749

WysokieCVSS 7.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 22 - wyżej niż 22% wszystkich znanych CVE

Streszczenie

Wtyczka Post Duplicator dla WordPressa przed wersją 3.0.15 nieprawidłowo obsługuje niestandardowe metadane podczas duplikacji postów, co pozwala na przechowywanie wartości dostarczonych przez atakującego bez ochrony podwójnej serializacji API metadanych WordPressa.

Ocena ryzyka

Użytkownicy z dostępem na poziomie Contributor i wyżej mogą wstrzykiwać obiekty PHP, co stwarza ryzyko wykonania złośliwego kodu na serwerze.

Rekomendacja

Zaleca się aktualizację wtyczki Post Duplicator do wersji 3.0.15 lub nowszej, aby zabezpieczyć się przed tą podatnością.

Oryginalny opis (angielski, źródło NVD)

The Post Duplicator WordPress plugin before 3.0.15 does not safely handle custom meta-data during post duplication, storing attacker-supplied serialized values without the WordPress meta API's double-serialization protection, allowing users with Contributor-level access and above to inject a PHP Object.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS