CVE-2026-53674
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 13 - wyżej niż 13% wszystkich znanych CVE
Streszczenie
BuddyPress w wersji 14.4.0 zawiera podatność na wstrzyknięcie wyrażeń regularnych w resolverze wzmiankowania aktywności. Gdy tryb zgodności z nazwami użytkowników jest włączony, atakujący mogą manipulować klauzulą REGEXP w bazie danych, wykorzystując nazwy wzmiankowe zawierające metaznaki regex.
Ocena ryzyka
Atakujący mogą przeprowadzać inferencję nazw użytkowników oraz wywoływać odmowę usługi poprzez katastrofalne cofanie, co może prowadzić do poważnych zakłóceń w działaniu systemu.
Rekomendacja
Zaleca się aktualizację BuddyPress do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie logów w celu wykrycia potencjalnych prób ataków.
Oryginalny opis (angielski, źródło NVD)
BuddyPress 14.4.0 contains a regular expression injection vulnerability in the activity mention resolver that, when username compatibility mode is enabled, allows attackers to manipulate a REGEXP database clause by crafting mention names containing regex metacharacters. Attackers can submit @mentions whose metacharacters pass through esc_sql unescaped and are inserted into an unprepared REGEXP query against the users table, enabling boolean-based inference of usernames and denial of service through catastrophic backtracking.

