Krytyczna luka SSTI w wtyczce Contact Form by Supsystic dla WordPress

Wtyczka Contact Form by Supsystic dla WordPress ma krytyczną lukę SSTI umożliwiającą zdalne wykonanie kodu. Sprawdź zalecenia bezpieczeństwa.
CVE-2026-4257CVSS 9.8Web

Krytyczna luka SSTI w wtyczce Contact Form by Supsystic dla WordPress

Wtyczka Contact Form by Supsystic dla WordPress ma krytyczną lukę SSTI umożliwiającą zdalne wykonanie kodu. Sprawdź zalecenia bezpieczeństwa.

CVSS
9.8 CRITICAL
EPSS
98.5%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka Contact Form by Supsystic do WordPressa jest podatna na Server-Side Template Injection (SSTI), co umożliwia zdalne wykonanie kodu (RCE) w wersjach do 1.7.36 włącznie. Luka wynika z użycia silnika szablonów Twig bez sandboxingu oraz funkcji cfsPreFill, pozwalającej nieautoryzowanym użytkownikom na wstrzykiwanie wyrażeń Twig przez parametry GET.

Wpływ biznesowy

Atakujący bez uwierzytelnienia mogą wykonać dowolne polecenia PHP i systemowe na serwerze, co stwarza poważne zagrożenie dla integralności i dostępności infrastruktury IT. Wykorzystanie tej luki może prowadzić do przejęcia kontroli nad serwerem, wycieku danych lub dalszej eskalacji ataku w środowisku WordPress.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji wtyczki Contact Form by Supsystic i ich wdrożenie. W przypadku braku łatki należy ograniczyć dostęp do parametrów GET wykorzystywanych przez funkcję cfsPreFill, monitorować logi serwera pod kątem podejrzanej aktywności oraz rozważyć tymczasowe wyłączenie wtyczki. Priorytetowo traktuj ocenę ryzyka i wdrożenie środków zapobiegawczych.

Źródła