Katalog CVE

CVE-2026-8380

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

Wtyczka Frontend File Manager dla WordPress do wersji 23.6 nie weryfikuje poprawnie własności docelowych wpisów przed ich trwałym usunięciem, co pozwala uwierzytelnionym użytkownikom z poziomem autora i wyższym na trwałe usuwanie dowolnych wpisów i stron. Gdy administrator włączy opcję „Allow guest uploads”, ta sama luka staje się dostępna dla nieuwierzytelnionych użytkowników.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowane trwałe usunięcie treści, co może prowadzić do utraty danych, zakłócenia działania strony oraz potencjalnych strat finansowych i reputacyjnych.

Rekomendacja

Niezwłocznie zaktualizuj wtyczkę Frontend File Manager do najnowszej dostępnej wersji. Jeśli aktualizacja nie jest możliwa, wyłącz opcję „Allow guest uploads” i ogranicz uprawnienia użytkowników do niezbędnego minimum.

Oryginalny opis (angielski, źródło NVD)

The Frontend File Manager Plugin WordPress plugin through 23.6 does not properly verify ownership of every targeted post before permanent deletion, allowing authenticated users with author-level access and above to permanently delete arbitrary posts and pages. When the Frontend File Manager Plugin WordPress plugin through 23.6's "Allow guest uploads" setting is enabled by an administrator, the same deletion primitive becomes reachable by unauthenticated users.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS