Критична вразливість інжекції аргументів у WordPress Toolkit до версії 6.11.0

Вразливість CVE-2026-47365 у WordPress Toolkit дозволяє обходити авторизацію та виконувати довільні команди. Рекомендується оновлення та контроль доступу.
CVE-2026-47365CVSS 9.9CMS

Критична вразливість інжекції аргументів у WordPress Toolkit до версії 6.11.0

Вразливість CVE-2026-47365 у WordPress Toolkit дозволяє обходити авторизацію та виконувати довільні команди. Рекомендується оновлення та контроль доступу.

CVSS
9.9 CRITICAL
EPSS
32.85%
Активно використовується
немає в KEV
Продукт
-

Що відомо

Вразливість інжекції аргументів у WordPress Toolkit, що використовується в cPanel & WHM, дозволяє віддаленим автентифікованим користувачам обходити авторизацію між орендарями та виконувати довільні команди wp-toolkit CLI від імені іншого облікового запису.

Бізнес-вплив

Ця вразливість може призвести до несанкціонованого доступу та виконання команд у середовищі WordPress Toolkit, що ставить під загрозу безпеку веб-сайтів і серверів, керованих через cPanel & WHM. Зловмисники можуть отримати контроль над ресурсами інших користувачів, що створює серйозні ризики для цілісності та конфіденційності даних.

Рекомендовані дії адміністратора

Адміністраторам рекомендується негайно перевірити наявність оновлень WordPress Toolkit від постачальника та застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до інтерфейсу wp-toolkit CLI, переглянути журнали на предмет підозрілої активності та впровадити додаткові заходи контролю доступу для зменшення ризиків.

Джерела

Безпекові сповіщення

Отримуйте CVE-сповіщення до того, як вони стануть інцидентом

Надсилаємо вибрані інфраструктурні загрози українською з практичними нотатками для середовищ DataHouse.

  • DataHouse: адміністрування серверів і безпечна хмара
  • Hostilla.pl: хостинг і поштові послуги
  • SecDNS.pl: безплатний рівень DNS-безпеки