Katalog CVE

CVE-2026-6555

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.98%

Percentyl 58 — wyżej niż 58% wszystkich znanych CVE

Streszczenie

Wtyczka ProSolution WP Client dla WordPressa jest podatna na nieautoryzowane przesyłanie plików w wersjach do 2.0.0 włącznie. Problem wynika z niezgodności walidacji tablicy, gdzie tylko pierwszy plik w tablicy przesyłania przechodzi walidację rozszerzenia i typu MIME, podczas gdy wszystkie pliki są przetwarzane i przesyłane do katalogu dostępnego przez sieć.

Ocena ryzyka

Atakujący bez uwierzytelnienia mogą przesyłać złośliwe pliki PHP, co prowadzi do zdalnego wykonania kodu. To stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć dodatkowe mechanizmy zabezpieczeń, takie jak ograniczenie typów przesyłanych plików.

Oryginalny opis (angielski, źródło NVD)

The ProSolution WP Client plugin for WordPress is vulnerable to Arbitrary File Upload in versions up to, and including, 2.0.0. This is due to an array validation mismatch where only the first file in the upload array undergoes extension and MIME type validation, while all files are processed and uploaded to a web-accessible directory. This makes it possible for unauthenticated attackers to upload malicious PHP files and achieve remote code execution by sending a valid first file followed by a malicious file.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS