Luka w UpdraftPlus WP Backup & Migration umożliwia obejście uwierzytelniania

Wtyczka UpdraftPlus do WordPressa ma krytyczną lukę pozwalającą na obejście uwierzytelniania i zdalne wykonanie kodu. Zalecane szybkie aktualizacje.
CVE-2026-10795CVSS 8.1CMS

Luka w UpdraftPlus WP Backup & Migration umożliwia obejście uwierzytelniania

Wtyczka UpdraftPlus do WordPressa ma krytyczną lukę pozwalającą na obejście uwierzytelniania i zdalne wykonanie kodu. Zalecane szybkie aktualizacje.

CVSS
8.1 HIGH
EPSS
87.98%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka UpdraftPlus: WP Backup & Migration dla WordPressa do wersji 1.26.4 zawiera lukę pozwalającą na obejście uwierzytelniania poprzez niewłaściwą weryfikację komunikatów zdalnych. Atakujący mogą sfałszować polecenia RPC i wykonać je z uprawnieniami administratora, co może prowadzić do zdalnego wykonania kodu.

Wpływ biznesowy

Luka ta stanowi poważne zagrożenie dla właścicieli stron opartych na WordPress z zainstalowaną wtyczką UpdraftPlus. Atakujący mogą przejąć kontrolę nad witryną, instalując złośliwe wtyczki i wykonując dowolny kod, co może skutkować utratą danych, defacementem strony lub dalszymi atakami na infrastrukturę IT.

Rekomendowane działania administratora

Administratorzy powinni niezwłocznie sprawdzić dostępność aktualizacji wtyczki UpdraftPlus i zastosować najnowszą wersję dostarczoną przez producenta. W przypadku braku natychmiastowej aktualizacji zaleca się ograniczenie dostępu do funkcji zdalnej komunikacji, monitorowanie logów pod kątem podejrzanych działań oraz priorytetowe traktowanie tej luki w procesie zarządzania podatnościami.

Źródła