CVE-2026-9834: Wstrzyknięcie poleceń systemu w wtyczce WP Database Backup dla WordPress
Wtyczka WP Database Backup do WordPress ma krytyczną lukę umożliwiającą wykonanie poleceń systemowych przez administratorów. Sprawdź zalecenia bezpieczeństwa.
- CVSS
- 7.2 HIGH
- EPSS
- 72.64%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka WP Database Backup dla WordPress do wersji 7.11 jest podatna na wstrzyknięcie poleceń systemu operacyjnego przez parametr wp_db_exclude_table. Atakujący z uprawnieniami administratora mogą wykonać dowolne polecenia na serwerze, co może prowadzić do pełnego przejęcia kontroli.
Wpływ biznesowy
Podatność umożliwia atakującym z uprawnieniami administratora wykonanie dowolnych poleceń systemowych na serwerze, co stanowi poważne zagrożenie dla integralności i bezpieczeństwa infrastruktury IT. Może to skutkować utratą danych, przerwami w działaniu usług oraz naruszeniem poufności informacji. Operatorzy powinni traktować tę lukę jako wysokiego priorytetu do natychmiastowego zaadresowania.
Rekomendowane działania administratora
Zaleca się jak najszybsze sprawdzenie dostępności aktualizacji wtyczki WP Database Backup i ich wdrożenie. W przypadku braku łatki należy ograniczyć dostęp do panelu administracyjnego WordPress do zaufanych użytkowników, przejrzeć logi pod kątem podejrzanej aktywności oraz rozważyć tymczasowe wyłączenie funkcji tworzenia kopii zapasowych wtyczką. Niezbędne jest także monitorowanie systemu pod kątem nieautoryzowanych działań i przygotowanie planu reakcji na incydenty.