Krytyczna luka w wtyczce DSGVO Google Web Fonts GDPR dla WordPress umożliwia zdalne wykonanie kodu

Krytyczna luka w wtyczce DSGVO Google Web Fonts GDPR dla WordPress umożliwia nieautoryzowany upload plików i zdalne wykonanie kodu. Sprawdź zalecenia bezpieczeństwa.
CVE-2026-3535CVSS 9.8Web

Krytyczna luka w wtyczce DSGVO Google Web Fonts GDPR dla WordPress umożliwia zdalne wykonanie kodu

Krytyczna luka w wtyczce DSGVO Google Web Fonts GDPR dla WordPress umożliwia nieautoryzowany upload plików i zdalne wykonanie kodu. Sprawdź zalecenia bezpieczeństwa.

CVSS
9.8 CRITICAL
EPSS
55.9%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka DSGVO Google Web Fonts GDPR dla WordPress do wersji 1.1 włącznie posiada lukę umożliwiającą nieautoryzowany upload dowolnych plików przez brak walidacji typów plików w funkcji DSGVOGWPdownloadGoogleFonts(). Atak wymaga użycia określonych motywów i pozwala na zdalne wykonanie kodu poprzez przesłanie złośliwych plików, takich jak webshell PHP.

Wpływ biznesowy

Luka ta stanowi poważne zagrożenie dla właścicieli stron opartych na WordPress, którzy korzystają z podatnej wersji wtyczki oraz wymienionych motywów. Atakujący mogą przejąć kontrolę nad serwerem, co prowadzi do potencjalnych wycieków danych, deface'u strony lub dalszej eskalacji ataku. Wdrożenie odpowiednich środków zabezpieczających jest kluczowe dla ochrony infrastruktury i reputacji firmy.

Rekomendowane działania administratora

Administratorzy powinni niezwłocznie zweryfikować wersję wtyczki DSGVO Google Web Fonts GDPR i rozważyć aktualizację do najnowszej, bezpiecznej wersji. W przypadku braku dostępnej poprawki zaleca się ograniczenie dostępu do funkcji AJAX wykorzystywanej przez wtyczkę, monitorowanie logów serwera pod kątem podejrzanej aktywności oraz rozważenie tymczasowego wyłączenia podatnej funkcjonalności. Dodatkowo warto przejrzeć i ograniczyć użycie wymienionych motywów, które umożliwiają exploitację.

Źródła