CVE-2026-10749
WysokieCVSS 7.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 - wyżej niż 22% wszystkich znanych CVE
Streszczenie
Wtyczka Post Duplicator dla WordPressa przed wersją 3.0.15 nieprawidłowo obsługuje niestandardowe metadane podczas duplikacji postów, co pozwala na przechowywanie wartości dostarczonych przez atakującego bez ochrony podwójnej serializacji API metadanych WordPressa.
Ocena ryzyka
Użytkownicy z dostępem na poziomie Contributor i wyżej mogą wstrzykiwać obiekty PHP, co stwarza ryzyko wykonania złośliwego kodu na serwerze.
Rekomendacja
Zaleca się aktualizację wtyczki Post Duplicator do wersji 3.0.15 lub nowszej, aby zabezpieczyć się przed tą podatnością.
Oryginalny opis (angielski, źródło NVD)
The Post Duplicator WordPress plugin before 3.0.15 does not safely handle custom meta-data during post duplication, storing attacker-supplied serialized values without the WordPress meta API's double-serialization protection, allowing users with Contributor-level access and above to inject a PHP Object.

