Krytyczna luka w WordPress Toolkit umożliwiająca wykonanie poleceń CLI jako inny użytkownik

Luka w WordPress Toolkit przed 6.11.0 pozwala na wykonanie poleceń CLI jako inny użytkownik. Zalecana szybka aktualizacja i monitoring.
CVE-2026-47365CVSS 9.9CMS

Krytyczna luka w WordPress Toolkit umożliwiająca wykonanie poleceń CLI jako inny użytkownik

Luka w WordPress Toolkit przed 6.11.0 pozwala na wykonanie poleceń CLI jako inny użytkownik. Zalecana szybka aktualizacja i monitoring.

CVSS
9.9 CRITICAL
EPSS
32.85%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W WordPress Toolkit w wersjach przed 6.11.0, używanym w cPanel & WHM, wykryto lukę pozwalającą zdalnym, uwierzytelnionym użytkownikom na obejście autoryzacji między tenantami i wykonanie dowolnych poleceń CLI wp-toolkit jako inny użytkownik. Luka ta ma bardzo wysoki poziom zagrożenia (CVSS 9.9).

Wpływ biznesowy

Dzięki tej luce atakujący z dostępem do konta może przejąć kontrolę nad funkcjami WordPress Toolkit przypisanymi do innych kont, co może prowadzić do eskalacji uprawnień i potencjalnego naruszenia izolacji między klientami. Może to skutkować nieautoryzowanym dostępem do zasobów i zmianami w środowisku hostingowym, wpływając na bezpieczeństwo i stabilność usług.

Rekomendowane działania administratora

Administratorzy powinni niezwłocznie zweryfikować wersję WordPress Toolkit i zaktualizować ją do wersji 6.11.0 lub nowszej, jeśli jest dostępna. W przypadku braku możliwości natychmiastowej aktualizacji, zaleca się ograniczenie dostępu do interfejsu CLI oraz monitorowanie logów pod kątem podejrzanych działań. Warto również przeprowadzić przegląd uprawnień użytkowników i wdrożyć dodatkowe mechanizmy kontroli dostępu.

Źródła

Alerty bezpieczeństwa

Dostawaj alerty CVE zanim staną się incydentem

Wysyłamy wybrane zagrożenia infrastrukturalne po polsku, z praktycznym komentarzem dla środowisk DataHouse.

  • DataHouse: administracja serwerów i bezpieczna chmura
  • Hostilla.pl: hosting i usługi pocztowe
  • SecDNS.pl: bezpłatna warstwa bezpieczeństwa DNS