Krytyczna luka RCE w wtyczce Quick Playground dla WordPress

Luka CVE-2026-1830 w wtyczce Quick Playground WordPress umożliwia zdalne wykonanie kodu. Sprawdź zalecenia bezpieczeństwa i aktualizacje.
CVE-2026-1830CVSS 9.8Web

Krytyczna luka RCE w wtyczce Quick Playground dla WordPress

Luka CVE-2026-1830 w wtyczce Quick Playground WordPress umożliwia zdalne wykonanie kodu. Sprawdź zalecenia bezpieczeństwa i aktualizacje.

CVSS
9.8 CRITICAL
EPSS
86.13%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka Quick Playground dla WordPress do wersji 1.3.1 włącznie posiada krytyczną lukę umożliwiającą zdalne wykonanie kodu. Luka wynika z niewystarczających kontroli autoryzacji na endpointach REST API, co pozwala na pobranie kodu synchronizacji i przesyłanie dowolnych plików, w tym PHP z wykorzystaniem path traversal.

Wpływ biznesowy

Atakujący bez uwierzytelnienia mogą przejąć kontrolę nad serwerem poprzez zdalne wykonanie kodu, co stwarza poważne zagrożenie dla bezpieczeństwa i integralności infrastruktury IT. Może to prowadzić do wycieku danych, utraty dostępności usług oraz konieczności kosztownych działań naprawczych.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji wtyczki Quick Playground i ich wdrożenie. W przypadku braku łatki należy ograniczyć dostęp do REST API, monitorować logi pod kątem podejrzanej aktywności oraz priorytetyzować działania zabezpieczające. Warto również rozważyć tymczasowe wyłączenie wtyczki do czasu usunięcia luki.

Źródła