CVE-2026-6271
KrytyczneStreszczenie
Wtyczka Career Section dla WordPressa jest podatna na nieautoryzowane przesyłanie plików we wszystkich wersjach do 1.7 włącznie, z powodu braku walidacji typu pliku w obsłudze przesyłania CV. To umożliwia nieautoryzowanym atakującym przesyłanie plików, które mogą być wykonywalne, co stwarza możliwość zdalnego wykonania kodu.
Ocena ryzyka
Organizacje mogą być narażone na zdalne wykonanie kodu przez nieautoryzowanych użytkowników, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.
Rekomendacja
Zaleca się aktualizację wtyczki Career Section do najnowszej wersji oraz wdrożenie dodatkowych mechanizmów zabezpieczających, takich jak walidacja typu pliku.
Oryginalny opis (angielski, źródło NVD)
The Career Section plugin for WordPress is vulnerable to Arbitrary File Upload in all versions up to, and including, 1.7 via the CV upload handler. This is due to missing file type validation. This makes it possible for unauthenticated attackers to upload files that may be executable, which makes remote code execution possible.

