Krytyczna luka wtyczki WP-BusinessDirectory umożliwiająca nieautoryzowane usuwanie plików

Krytyczna luka w WP-BusinessDirectory umożliwia nieautoryzowane usuwanie plików na serwerze. Zalecana szybka aktualizacja i zabezpieczenia.
CVE-2026-6070CVSS 9.1Web

Krytyczna luka wtyczki WP-BusinessDirectory umożliwiająca nieautoryzowane usuwanie plików

Krytyczna luka w WP-BusinessDirectory umożliwia nieautoryzowane usuwanie plików na serwerze. Zalecana szybka aktualizacja i zabezpieczenia.

CVSS
9.1 CRITICAL
EPSS
32.78%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka WP-BusinessDirectory dla WordPressa do wersji 4.0.1 zawiera poważną lukę umożliwiającą nieautoryzowane usuwanie dowolnych plików na serwerze. Luka wynika z niewystarczającej walidacji ścieżek w metodzie remove(), co pozwala atakującemu na usunięcie krytycznych plików, takich jak wp-config.php.

Wpływ biznesowy

Atakujący bez uwierzytelnienia mogą wykorzystać tę lukę do usunięcia ważnych plików konfiguracyjnych i innych zasobów serwera, co może prowadzić do przerw w działaniu serwisu, utraty danych oraz poważnych problemów z bezpieczeństwem infrastruktury. Operatorzy IT powinni traktować tę lukę jako krytyczną i priorytetowo podjąć działania naprawcze.

Rekomendowane działania administratora

Zaleca się jak najszybsze zaktualizowanie wtyczki WP-BusinessDirectory do wersji po 4.0.1, jeśli dostępna. W przypadku braku aktualizacji należy ograniczyć dostęp do endpointu upload.remove, przejrzeć logi pod kątem podejrzanych działań oraz wprowadzić dodatkowe zabezpieczenia ograniczające możliwość manipulacji ścieżkami plików. Regularne monitorowanie i audyt bezpieczeństwa są kluczowe.

Źródła