Krytyczna luka wtyczki Divi Form Builder umożliwiająca zdalne wykonanie kodu

Krytyczna luka w Divi Form Builder umożliwia zdalne wykonanie kodu przez przesłanie złośliwych plików PHP. Zalecana szybka aktualizacja i monitoring.
CVE-2026-5524CVSS 9.8Web

Krytyczna luka wtyczki Divi Form Builder umożliwiająca zdalne wykonanie kodu

Krytyczna luka w Divi Form Builder umożliwia zdalne wykonanie kodu przez przesłanie złośliwych plików PHP. Zalecana szybka aktualizacja i monitoring.

CVSS
9.8 CRITICAL
EPSS
41.55%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka Divi Form Builder dla WordPressa do wersji 5.1.8 zawiera lukę umożliwiającą przesłanie dowolnego pliku, co prowadzi do zdalnego wykonania kodu. Problem wynika z niewystarczającej walidacji rozszerzeń plików, pozwalającej na przesłanie plików PHP mimo ochrony .htaccess, która jest nieskuteczna na serwerach Nginx.

Wpływ biznesowy

Luka o krytycznym poziomie CVSS 9.8 pozwala nieautoryzowanym atakującym na przesłanie i wykonanie złośliwego kodu na serwerze WordPress, co może prowadzić do przejęcia kontroli nad infrastrukturą, wycieku danych lub dalszej eskalacji ataku. Właściciele stron i operatorzy IT powinni traktować tę podatność jako wysokie ryzyko dla bezpieczeństwa swoich systemów.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie i wdrożenie dostępnych aktualizacji wtyczki Divi Form Builder, zwłaszcza wersji powyżej 5.1.8. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć dostęp do katalogu /wp-content/uploads/de_fb_uploads/ oraz monitorować logi serwera pod kątem podejrzanych aktywności. Dodatkowo warto rozważyć wdrożenie dodatkowych mechanizmów filtrowania i kontroli przesyłanych plików oraz audyt konfiguracji serwera, szczególnie jeśli używany jest Nginx.

Źródła