Katalog CVE

CVE-2026-53674

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.04%

Percentyl 13 - wyżej niż 13% wszystkich znanych CVE

Streszczenie

BuddyPress w wersji 14.4.0 zawiera podatność na wstrzyknięcie wyrażeń regularnych w resolverze wzmiankowania aktywności. Gdy tryb zgodności z nazwami użytkowników jest włączony, atakujący mogą manipulować klauzulą REGEXP w bazie danych, wykorzystując nazwy wzmiankowe zawierające metaznaki regex.

Ocena ryzyka

Atakujący mogą przeprowadzać inferencję nazw użytkowników oraz wywoływać odmowę usługi poprzez katastrofalne cofanie, co może prowadzić do poważnych zakłóceń w działaniu systemu.

Rekomendacja

Zaleca się aktualizację BuddyPress do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie logów w celu wykrycia potencjalnych prób ataków.

Oryginalny opis (angielski, źródło NVD)

BuddyPress 14.4.0 contains a regular expression injection vulnerability in the activity mention resolver that, when username compatibility mode is enabled, allows attackers to manipulate a REGEXP database clause by crafting mention names containing regex metacharacters. Attackers can submit @mentions whose metacharacters pass through esc_sql unescaped and are inserted into an unprepared REGEXP query against the users table, enabling boolean-based inference of usernames and denial of service through catastrophic backtracking.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS