CVE-2026-9067
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 — wyżej niż 18% wszystkich znanych CVE
Streszczenie
Wtyczka Schema & Structured Data for WP & AMP dla WordPressa przed wersją 1.60 nie sprawdza uprawnień użytkowników w swoich handlerach AJAX do przesyłania plików oraz nie weryfikuje rzeczywistej zawartości przesyłanych plików w odniesieniu do zamierzonego typu mediów, co pozwala nieautoryzowanym użytkownikom na przesyłanie dowolnych typów plików akceptowanych przez bibliotekę mediów WordPressa.
Ocena ryzyka
Organizacja może być narażona na ataki, w których nieautoryzowani użytkownicy przesyłają złośliwe pliki, co może prowadzić do kompromitacji systemu lub wycieku danych.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji oraz wdrożenie dodatkowych mechanizmów weryfikacji uprawnień i typów plików na serwerze.
Oryginalny opis (angielski, źródło NVD)
The Schema & Structured Data for WP & AMP WordPress plugin before 1.60 does not check user capabilities on its frontend AJAX file-upload handlers and does not validate the actual content of uploaded files against the endpoint's intended media type, allowing unauthenticated users to upload any file type accepted by WordPress's media library through endpoints that should only accept images or videos.

