CVE-2026-5821
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 27 — wyżej niż 27% wszystkich znanych CVE
Streszczenie
Wtyczka Image Optimizer dla WordPressa w wersjach do 1.7.4 zawiera podatność na usuwanie dowolnych plików. Wynika to z braku walidacji ścieżek w funkcji Image_Backup::remove(), gdzie ścieżki plików kopii zapasowych przechowywane w metadanych posta są używane bezpośrednio w operacjach usuwania bez sprawdzenia, czy znajdują się w katalogu uploads. Uwierzytelniony atakujący z dostępem na poziomie Autora może zmodyfikować pole meta image_optimizer_metadata we własnych załącznikach, wstrzykując dowolne ścieżki plików, które zostaną usunięte po skasowaniu załącznika.
Ocena ryzyka
Atakujący może usunąć dowolne pliki na serwerze w granicach uprawnień systemu plików serwera WWW, co może prowadzić do przerwania działania usługi, utraty danych lub obniżenia poziomu bezpieczeństwa.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę Image Optimizer do najnowszej dostępnej wersji, która zawiera poprawkę walidacji ścieżek. Jeśli aktualizacja nie jest dostępna, należy tymczasowo wyłączyć wtyczkę.
Oryginalny opis (angielski, źródło NVD)
The Image Optimizer plugin for WordPress is vulnerable to arbitrary file deletion in versions up to and including 1.7.4. This is due to insufficient path validation in the Image_Backup::remove() function where backup file paths stored in post meta are used directly in file deletion operations without verifying they are within the uploads directory. The plugin stores backup file paths in the image_optimizer_metadata post meta field and trusts these paths completely when deleting backups on the delete_attachment hook. An authenticated attacker with Author-level access can edit the image_optimizer_metadata post meta on their own attachments via WordPress's Custom Fields interface, injecting arbitrary absolute file paths into the backups array. When the attacker subsequently deletes the attachment, the plugin calls File_System::delete() on each path without validation. This makes it possible for authenticated attackers, with Author-level access and above, to delete arbitrary files on the server within the web server's filesystem permissions, potentially leading to denial of service, data loss, or security degradation.

