CVE-2026-14249
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 25 — wyżej niż 25% wszystkich znanych CVE
Streszczenie
Wtyczka Request a Quote dla WordPressa do wersji 2.5.5 zawiera podatność na wstrzykiwanie kodu przez akcję AJAX emd_delete_file. Atakujący bez uwierzytelnienia może wywołać dowolne funkcje PHP bez argumentów, takie jak phpinfo(), poprzez manipulację parametrem $_POST['path'].
Ocena ryzyka
Ryzyko obejmuje ujawnienie wrażliwej konfiguracji serwera i poświadczeń, a także możliwość wykonania innych destrukcyjnych wbudowanych funkcji PHP, co może prowadzić do pełnego przejęcia serwera.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę Request a Quote do najnowszej dostępnej wersji, która usuwa tę podatność. Do czasu aktualizacji zaleca się tymczasowe wyłączenie wtyczki.
Oryginalny opis (angielski, źródło NVD)
The Request a Quote plugin for WordPress is vulnerable to Code Injection in versions up to, and including, 2.5.5 via the emd_delete_file AJAX action. This is due to the emd_delete_file() handler deriving a PHP function name from the attacker-controlled $_POST['path'] parameter and invoking it dynamically via the variable-function call $sess_name(), and the handler being registered for wp_ajax_nopriv with its only protection being a nonce that the plugin prints into the public quote-form page via wp_localize_script. This makes it possible for unauthenticated attackers to invoke arbitrary zero-argument PHP functions on the server, such as phpinfo(), potentially exposing sensitive server configuration and credentials, or executing other destructive built-in PHP functions.

