Уразливість ін’єкції команд ОС у плагіні WP Database Backup для WordPress

Високорівнева уразливість ін’єкції команд у плагіні WP Database Backup для WordPress дозволяє адміністраторам виконувати довільний код на сервері.
CVE-2026-9834CVSS 7.2Web

Уразливість ін’єкції команд ОС у плагіні WP Database Backup для WordPress

Високорівнева уразливість ін’єкції команд у плагіні WP Database Backup для WordPress дозволяє адміністраторам виконувати довільний код на сервері.

CVSS
7.2 HIGH
EPSS
72.64%
Активно використовується
немає в KEV
Продукт
-

Що відомо

Плагін WP Database Backup для WordPress має уразливість ін’єкції команд операційної системи через параметр wp_db_exclude_table у версіях до 7.11 включно. Це дозволяє адміністраторам виконувати довільні команди на сервері під час операцій резервного копіювання.

Бізнес-вплив

Уразливість може призвести до повного виконання довільного коду на сервері, що ставить під загрозу цілісність і доступність вебсайту та даних. Власники інфраструктури повинні враховувати високий рівень ризику, особливо якщо плагін використовується в середовищах з адміністративним доступом користувачів.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень плагіна від розробника та застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до адміністративної панелі, ретельно перевірити журнали на наявність підозрілої активності та розглянути тимчасове відключення плагіна. Загалом, слід зменшити експозицію сервера та пріоритезувати виправлення цієї уразливості.

Джерела