Вразливість Local File Inclusion у плагіні WP User Manager для WordPress

Вразливість LFI у плагіні WP User Manager дозволяє виконувати довільний PHP-код. Рекомендується оновити плагін для захисту сайту.
CVE-2026-9290CVSS 7.5Web

Вразливість Local File Inclusion у плагіні WP User Manager для WordPress

Вразливість LFI у плагіні WP User Manager дозволяє виконувати довільний PHP-код. Рекомендується оновити плагін для захисту сайту.

CVSS
7.5 HIGH
EPSS
82.02%
Активно використовується
немає в KEV
Продукт
-

Що відомо

Плагін WP User Manager – User Profile Builder & Membership для WordPress має вразливість Local File Inclusion у версіях до 2.9.17 включно. Це дозволяє неавторизованим зловмисникам виконувати довільні PHP-файли на сервері через функцію профільного шаблону.

Бізнес-вплив

Вразливість може призвести до обходу механізмів контролю доступу, викрадення конфіденційних даних або виконання шкідливого коду на сервері. Це створює серйозні ризики для безпеки веб-сайтів, що використовують цей плагін, особливо якщо дозволено завантаження PHP-файлів.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень плагіна від розробника та застосувати їх. Якщо оновлення недоступні, слід обмежити можливість завантаження PHP-файлів, провести аудит логів на ознаки експлуатації та знизити експозицію вразливого функціоналу. Пріоритезуйте виправлення цієї вразливості через її високий рівень ризику.

Джерела