Lokalne Dołączenie Plików w wtyczce WP User Manager – User Profile Builder & Membership

Wtyczka WP User Manager do WordPressa ma lukę LFI umożliwiającą wykonanie kodu PHP. Zalecane szybkie aktualizacje i monitoring.
CVE-2026-9290CVSS 7.5Web

Lokalne Dołączenie Plików w wtyczce WP User Manager – User Profile Builder & Membership

Wtyczka WP User Manager do WordPressa ma lukę LFI umożliwiającą wykonanie kodu PHP. Zalecane szybkie aktualizacje i monitoring.

CVSS
7.5 HIGH
EPSS
82.02%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka WP User Manager – User Profile Builder & Membership dla WordPressa do wersji 2.9.17 jest podatna na lokalne dołączenie plików (LFI) poprzez funkcję szablonu profilu. Pozwala to nieautoryzowanym atakującym na dołączenie i wykonanie dowolnych plików PHP na serwerze.

Wpływ biznesowy

Podatność umożliwia atakującym obejście mechanizmów kontroli dostępu, kradzież wrażliwych danych lub wykonanie złośliwego kodu PHP, co może prowadzić do poważnych naruszeń bezpieczeństwa serwera i aplikacji. Organizacje korzystające z tej wtyczki powinny traktować tę lukę jako wysokiego ryzyka i priorytetowo podejść do jej zaadresowania.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji wtyczki u dostawcy oraz ich wdrożenie. W międzyczasie ograniczyć możliwość przesyłania i dołączania plików PHP, monitorować logi serwera pod kątem podejrzanej aktywności oraz ograniczyć dostęp do funkcji profilu użytkownika. Priorytetowo traktować audyt i zabezpieczenie środowiska WordPress.

Źródła