Критична вразливість RCE у плагіні Quick Playground для WordPress

Критична вразливість віддаленого виконання коду у плагіні Quick Playground для WordPress до версії 1.3.1. Рекомендується оновлення та обмеження доступу.
CVE-2026-1830CVSS 9.8Web

Критична вразливість RCE у плагіні Quick Playground для WordPress

Критична вразливість віддаленого виконання коду у плагіні Quick Playground для WordPress до версії 1.3.1. Рекомендується оновлення та обмеження доступу.

CVSS
9.8 CRITICAL
EPSS
86.13%
Активно використовується
немає в KEV
Продукт
-

Що відомо

Плагін Quick Playground для WordPress версій до 1.3.1 включно має критичну вразливість віддаленого виконання коду через недостатню перевірку авторизації на REST API. Зловмисники можуть отримати синхронізаційний код, завантажувати шкідливі PHP-файли з обходом шляхів і виконувати довільний код на сервері.

Бізнес-вплив

Вразливість дозволяє неавторизованим користувачам отримати контроль над сервером WordPress, що може призвести до компрометації даних, порушення роботи сайту та подальших атак на інфраструктуру. Власники сайтів і ІТ-оператори повинні розглядати цю загрозу як критичну та пріоритетно реагувати для запобігання потенційним збиткам.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень плагіна Quick Playground від розробника та встановити їх. Якщо оновлення недоступні, слід обмежити доступ до REST API, провести аудит логів на ознаки експлуатації, зменшити поверхню атаки та підвищити моніторинг безпеки. Важливо також перевірити права доступу та налаштування завантаження файлів.

Джерела