CVE-2026-56058
KrytyczneCVSS 9.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 28 — wyżej niż 28% wszystkich znanych CVE
Streszczenie
Podatność wtyczki Quform w wersjach do 2.23.0 umożliwia użytkownikowi z rolą subskrybenta przesyłanie dowolnych plików na serwer. Atakujący może wykorzystać tę lukę do wgrania złośliwego pliku, co może prowadzić do przejęcia kontroli nad witryną.
Ocena ryzyka
Ryzyko dla organizacji obejmuje możliwość zdalnego wykonania kodu przez nieautoryzowanego użytkownika, co może skutkować naruszeniem integralności danych, kradzieżą informacji lub całkowitym przejęciem serwisu WordPress.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki Quform do najnowszej dostępnej wersji, która usuwa tę podatność. Należy również ograniczyć uprawnienia użytkowników subskrybentów do minimum.
Oryginalny opis (angielski, źródło NVD)
Subscriber Arbitrary File Upload in Quform <= 2.23.0 versions.

