CVE-2026-12240
WysokieCVSS 8.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 26 — wyżej niż 26% wszystkich znanych CVE
Streszczenie
Wtyczka Export User Data dla WordPressa jest podatna na dowolne usuwanie plików z powodu niewystarczającej walidacji ścieżki pliku w funkcji unserialize. Luka występuje we wszystkich wersjach do 2.2.6 włącznie i umożliwia uwierzytelnionym atakującym z dostępem na poziomie subskrybenta lub wyższym usuwanie dowolnych plików na serwerze.
Ocena ryzyka
Ryzyko dla organizacji jest krytyczne, ponieważ usunięcie kluczowych plików (np. wp-config.php) może prowadzić do zdalnego wykonania kodu. Atak wymaga jednak aktywacji przez administratora eksportu danych użytkownika, podczas gdy atakujący przechowuje spreparowany obiekt serializowany XLSXWriter jako swoją nazwę wyświetlaną.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę Export User Data do najnowszej dostępnej wersji. Jeśli aktualizacja nie jest możliwa, tymczasowo wyłącz wtyczkę i ogranicz uprawnienia użytkowników subskrybentów.
Oryginalny opis (angielski, źródło NVD)
The Export User Data plugin for WordPress is vulnerable to arbitrary file deletion due to insufficient file path validation in the unserialize function in all versions up to, and including, 2.2.6. This makes it possible for authenticated attackers, with subscriber-level access and above, to delete arbitrary files on the server, which can easily lead to remote code execution when the right file is deleted (such as wp-config.php). Successful exploitation requires an administrator to trigger a user data export while a subscriber-level (or higher) user has stored a crafted serialized XLSXWriter object payload as their display name.

