CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-3535

Critical
Published: Translated: NVD NIST

Summary

Wtyczka DSGVO Google Web Fonts GDPR dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji `DSGVOGWPdownloadGoogleFonts()`. Funkcja ta jest dostępna przez hak `wp_ajax_nopriv_`, co nie wymaga uwierzytelnienia, i umożliwia atakującym przesyłanie dowolnych plików, w tym webshelli PHP.

Risk Assessment

Brak walidacji typu pliku stwarza ryzyko zdalnego wykonania kodu przez nieautoryzowanych atakujących, co może prowadzić do poważnych naruszeń bezpieczeństwa w organizacji. Atakujący mogą wykorzystać tę podatność do przejęcia kontroli nad serwerem.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć dodatkowe mechanizmy zabezpieczeń, takie jak ograniczenie dostępu do funkcji przesyłania plików.

Original NVD description (English source)

The DSGVO Google Web Fonts GDPR plugin for WordPress is vulnerable to arbitrary file upload due to missing file type validation in the `DSGVOGWPdownloadGoogleFonts()` function in all versions up to, and including, 1.1. The function is exposed via a `wp_ajax_nopriv_` hook, requiring no authentication. It fetches a user-supplied URL as a CSS file, extracts URLs from its content, and downloads those files to a publicly accessible directory without validating the file type. This makes it possible for unauthenticated attackers to upload arbitrary files including PHP webshells, leading to remote code execution. The exploit requires the site to use one of a handful of specific themes (twentyfifteen, twentyseventeen, twentysixteen, storefront, salient, or shapely).

Vulnerability data from NVD (NIST) · CISA KEV · EPSS