Katalog CVE

CVE-2026-9815

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 12 — wyżej niż 12% wszystkich znanych CVE

Streszczenie

Wtyczka MagicForm dla WordPressa w wersji do 0.1.3 nieprawidłowo waliduje typ plików przesyłanych przez nieautoryzowaną akcję AJAX, gdy lista dozwolonych rozszerzeń dla pól formularza jest pusta. To pozwala nieautoryzowanym atakującym na przesyłanie plików PHP i wykonywanie dowolnego kodu na serwerze.

Ocena ryzyka

Organizacja jest narażona na ataki, które mogą prowadzić do zdalnego wykonania kodu, co może skutkować utratą danych lub przejęciem kontroli nad serwerem.

Rekomendacja

Zaleca się aktualizację wtyczki MagicForm do najnowszej wersji oraz skonfigurowanie listy dozwolonych rozszerzeń dla pól formularza, aby zminimalizować ryzyko przesyłania niebezpiecznych plików.

Oryginalny opis (angielski, źródło NVD)

The MagicForm WordPress plugin through 0.1.3 does not properly validate the type of files uploaded through an unauthenticated AJAX action when a form's per-field extension allowlist is left empty, allowing unauthenticated attackers to upload PHP files and execute arbitrary code on the server.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS