CVE-2026-7565
ŚrednieCVSS 4.9Streszczenie
Wtyczka LearnPress – Backup & Migration Tool dla WordPressa jest podatna na odczyt dowolnych plików poprzez przejście po katalogach we wszystkich wersjach do 4.1.4 włącznie, za pomocą parametru 'import-user-file'. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie administratora i wyżej odczyt zawartości dowolnych plików na serwerze.
Ocena ryzyka
Atakujący mogą uzyskać dostęp do wrażliwych informacji przechowywanych w plikach na serwerze, co może prowadzić do poważnych naruszeń bezpieczeństwa danych.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji oraz ograniczenie dostępu do parametrów importu tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
The LearnPress – Backup & Migration Tool plugin for WordPress is vulnerable to Arbitrary File Read via Directory Traversal in all versions up to, and including, 4.1.4 via the 'import-user-file' parameter parameter. This makes it possible for authenticated attackers, with administrator-level access and above, to read the contents of arbitrary files on the server, which can contain sensitive information.

