CVE-2026-10795
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 - wyżej niż 11% wszystkich znanych CVE
Streszczenie
Wtyczka UpdraftPlus: WP Backup & Migration dla WordPressa jest podatna na obejście uwierzytelnienia we wszystkich wersjach do i włącznie z 1.26.4. Problem wynika z niewystarczającej walidacji formatu wiadomości komunikacji zdalnej, co pozwala na ominięcie weryfikacji podpisu.
Ocena ryzyka
Atakujący bez uwierzytelnienia mogą fałszować dowolne polecenia RPC i wykonywać je jako podłączony administrator, co może prowadzić do zdalnego wykonania kodu.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie systemu pod kątem nieautoryzowanych działań.
Oryginalny opis (angielski, źródło NVD)
The UpdraftPlus: WP Backup & Migration Plugin plugin for WordPress is vulnerable to Authentication Bypass in all versions up to, and including, 1.26.4 via the UpdraftPlus_Remote_Communications_V2::wp_loaded function. This is due to insufficient validation of the remote communications message format, where signature verification can be bypassed and unchecked decryption return values collapse to a predictable all-zero encryption key. This makes it possible for unauthenticated attackers to forge arbitrary RPC commands and run them as the connected administrator, such as uploading and activating a malicious plugin, which ultimately leads to remote code execution.

