Критична вразливість завантаження файлів у Divi Form Builder для WordPress (CVE-2026-5524)
Вразливість у Divi Form Builder дозволяє віддалене виконання коду через завантаження шкідливих файлів. Оновіть плагін для захисту сайту.
- CVSS
- 9.8 CRITICAL
- EPSS
- 41.55%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
Плагін Divi Form Builder для WordPress має критичну вразливість завантаження довільних файлів, що дозволяє віддалене виконання коду у версіях до 5.1.8 включно. Недостатня перевірка розширень файлів дозволяє зловмисникам обходити захист і завантажувати шкідливі PHP-файли.
Бізнес-вплив
Ця вразливість створює серйозну загрозу для безпеки веб-сайтів на WordPress, що використовують Divi Form Builder. Зловмисники можуть отримати віддалений доступ до серверу, виконуючи довільний код, що може призвести до компрометації даних, порушення роботи сервісів та репутаційних втрат. Особливо уразливі сайти на серверах Nginx, де стандартний .htaccess захист не працює.
Рекомендовані дії адміністратора
Рекомендується негайно оновити плагін Divi Form Builder до версії вище 5.1.8 або застосувати офіційні патчі від розробника. Якщо оновлення неможливе, слід обмежити доступ до директорії завантажень, перевірити логи на ознаки зловмисної активності та розглянути можливість тимчасового відключення плагіна. Також варто перевірити конфігурацію веб-сервера, особливо для Nginx, щоб забезпечити належний захист від виконання PHP-файлів у директоріях завантажень.