CVE-2026-9834: Wstrzyknięcie poleceń systemu w wtyczce WP Database Backup dla WordPress

Wtyczka WP Database Backup do WordPress ma krytyczną lukę umożliwiającą wykonanie poleceń systemowych przez administratorów. Sprawdź zalecenia bezpieczeństwa.
CVE-2026-9834CVSS 7.2Web

CVE-2026-9834: Wstrzyknięcie poleceń systemu w wtyczce WP Database Backup dla WordPress

Wtyczka WP Database Backup do WordPress ma krytyczną lukę umożliwiającą wykonanie poleceń systemowych przez administratorów. Sprawdź zalecenia bezpieczeństwa.

CVSS
7.2 HIGH
EPSS
72.64%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka WP Database Backup dla WordPress do wersji 7.11 jest podatna na wstrzyknięcie poleceń systemu operacyjnego przez parametr wp_db_exclude_table. Atakujący z uprawnieniami administratora mogą wykonać dowolne polecenia na serwerze, co może prowadzić do pełnego przejęcia kontroli.

Wpływ biznesowy

Podatność umożliwia atakującym z uprawnieniami administratora wykonanie dowolnych poleceń systemowych na serwerze, co stanowi poważne zagrożenie dla integralności i bezpieczeństwa infrastruktury IT. Może to skutkować utratą danych, przerwami w działaniu usług oraz naruszeniem poufności informacji. Operatorzy powinni traktować tę lukę jako wysokiego priorytetu do natychmiastowego zaadresowania.

Rekomendowane działania administratora

Zaleca się jak najszybsze sprawdzenie dostępności aktualizacji wtyczki WP Database Backup i ich wdrożenie. W przypadku braku łatki należy ograniczyć dostęp do panelu administracyjnego WordPress do zaufanych użytkowników, przejrzeć logi pod kątem podejrzanej aktywności oraz rozważyć tymczasowe wyłączenie funkcji tworzenia kopii zapasowych wtyczką. Niezbędne jest także monitorowanie systemu pod kątem nieautoryzowanych działań i przygotowanie planu reakcji na incydenty.

Źródła