Krytyczna luka RCE w wtyczce Quick Playground dla WordPress
Luka CVE-2026-1830 w wtyczce Quick Playground WordPress umożliwia zdalne wykonanie kodu. Sprawdź zalecenia bezpieczeństwa i aktualizacje.
- CVSS
- 9.8 CRITICAL
- EPSS
- 86.13%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka Quick Playground dla WordPress do wersji 1.3.1 włącznie posiada krytyczną lukę umożliwiającą zdalne wykonanie kodu. Luka wynika z niewystarczających kontroli autoryzacji na endpointach REST API, co pozwala na pobranie kodu synchronizacji i przesyłanie dowolnych plików, w tym PHP z wykorzystaniem path traversal.
Wpływ biznesowy
Atakujący bez uwierzytelnienia mogą przejąć kontrolę nad serwerem poprzez zdalne wykonanie kodu, co stwarza poważne zagrożenie dla bezpieczeństwa i integralności infrastruktury IT. Może to prowadzić do wycieku danych, utraty dostępności usług oraz konieczności kosztownych działań naprawczych.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji wtyczki Quick Playground i ich wdrożenie. W przypadku braku łatki należy ograniczyć dostęp do REST API, monitorować logi pod kątem podejrzanej aktywności oraz priorytetyzować działania zabezpieczające. Warto również rozważyć tymczasowe wyłączenie wtyczki do czasu usunięcia luki.