Katalog CVE

CVE-2026-12242

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.47%

Percentyl 37 — wyżej niż 37% wszystkich znanych CVE

Streszczenie

Wtyczka AdRotate Banner Manager dla WordPressa jest podatna na wstrzykiwanie kodu PHP we wszystkich wersjach do 5.17.7 włącznie, poprzez atrybut 'banner' shortcode adrotate. Problem wynika z niewystarczającej walidacji i sanitizacji wejścia przed połączeniem w ciąg kodu PHP.

Ocena ryzyka

Atakujący z poziomem dostępu Contributor lub wyższym może wykonać dowolny kod PHP na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację wtyczki AdRotate do najnowszej wersji oraz sprawdzenie ustawień W3 Total Cache lub Borlabs Cache, aby zminimalizować ryzyko.

Oryginalny opis (angielski, źródło NVD)

The AdRotate Banner Manager plugin for WordPress is vulnerable to PHP Code Injection in all versions up to, and including, 5.17.7 via the 'banner' attribute of the adrotate shortcode. This is due to insufficient input validation and sanitization of the banner shortcode attribute before concatenation into a PHP code string wrapped in W3 Total Cache mfunc or Borlabs Cache fragment markers. This makes it possible for authenticated attackers, with Contributor-level access and above, to execute arbitrary PHP code on the server. This vulnerability requires W3 Total Cache or Borlabs Cache support to be enabled in AdRotate settings.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS