Katalog CVE

CVE-2026-5294

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Geeky Bot dla WordPressa jest podatna na brak autoryzacji w wersjach do 1.2.2 włącznie. Problem wynika z nopriv AJAX route, który pozwala atakującym na kontrolowanie modelu/funkcji oraz na instalację wtyczek z złośliwych plików ZIP.

Ocena ryzyka

Atakujący mogą zainstalować dowolne wtyczki, co prowadzi do zdalnego wykonania kodu i poważnego zagrożenia dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację wtyczki Geeky Bot do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie systemu pod kątem nieautoryzowanych instalacji wtyczek.

Oryginalny opis (angielski, źródło NVD)

The Geeky Bot plugin for WordPress is vulnerable to Missing Authorization in versions up to, and including, 1.2.2. This is due to a nopriv AJAX route allowing attacker-controlled model/function dispatch and reaching a plugin installer helper that downloads and unzips attacker-supplied ZIP files into wp-content/plugins/. This makes it possible for unauthenticated attackers to perform arbitrary plugin installation and achieve remote code execution.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS