CVE-2026-1830
CriticalSummary
Wtyczka Quick Playground dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 1.3.1. Problem wynika z niewystarczających kontroli autoryzacji na punktach końcowych REST API, które ujawniają kod synchronizacji i umożliwiają przesyłanie dowolnych plików.
Risk Assessment
Atakujący bez uwierzytelnienia mogą uzyskać dostęp do kodu synchronizacji, przesyłać pliki PHP z wykorzystaniem przejścia ścieżki i osiągnąć zdalne wykonanie kodu na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Recommendation
Zaleca się aktualizację wtyczki Quick Playground do najnowszej wersji oraz wdrożenie odpowiednich kontroli autoryzacji na punktach końcowych REST API.
Original NVD description (English source)
The Quick Playground plugin for WordPress is vulnerable to Remote Code Execution in all versions up to, and including, 1.3.1. This is due to insufficient authorization checks on REST API endpoints that expose a sync code and allow arbitrary file uploads. This makes it possible for unauthenticated attackers to retrieve the sync code, upload PHP files with path traversal, and achieve remote code execution on the server.

