Katalog CVE

CVE-2026-1830

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Quick Playground dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 1.3.1. Problem wynika z niewystarczających kontroli autoryzacji na punktach końcowych REST API, które ujawniają kod synchronizacji i umożliwiają przesyłanie dowolnych plików.

Ocena ryzyka

Atakujący bez uwierzytelnienia mogą uzyskać dostęp do kodu synchronizacji, przesyłać pliki PHP z wykorzystaniem przejścia ścieżki i osiągnąć zdalne wykonanie kodu na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację wtyczki Quick Playground do najnowszej wersji oraz wdrożenie odpowiednich kontroli autoryzacji na punktach końcowych REST API.

Oryginalny opis (angielski, źródło NVD)

The Quick Playground plugin for WordPress is vulnerable to Remote Code Execution in all versions up to, and including, 1.3.1. This is due to insufficient authorization checks on REST API endpoints that expose a sync code and allow arbitrary file uploads. This makes it possible for unauthenticated attackers to retrieve the sync code, upload PHP files with path traversal, and achieve remote code execution on the server.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS