Katalog CVE

CVE-2026-6933

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.59%

Percentyl 44 - wyżej niż 44% wszystkich znanych CVE

Streszczenie

Wtyczka Premmerce Dev Tools dla WordPressa jest podatna na zdalne wykonanie kodu z powodu braku autoryzacji w wersjach do 2.0 włącznie. Funkcja 'generatePluginHandler' nie sprawdza autoryzacji przed przetwarzaniem danych POST dostarczonych przez użytkownika, co umożliwia atakującym wstrzyknięcie kodu PHP.

Ocena ryzyka

Atakujący z poziomem dostępu Subskrybenta lub wyższym mogą tworzyć dowolne pliki PHP na serwerze, co prowadzi do zdalnego wykonania kodu. To stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.

Rekomendacja

Zaleca się aktualizację wtyczki Premmerce Dev Tools do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa w celu wykrycia i usunięcia potencjalnych zagrożeń.

Oryginalny opis (angielski, źródło NVD)

The Premmerce Dev Tools plugin for WordPress is vulnerable to Remote Code Execution via missing authorization in versions up to and including 2.0. This is due to the 'generatePluginHandler' function lacking any authorization check before processing user-supplied POST data, combined with the 'createFromStub' function performing unsanitized string substitution of the 'premmerce_plugin_namespace' parameter directly into PHP stub files written to the wp-content/plugins/ directory. An attacker can inject a semicolon followed by arbitrary PHP code into the namespace parameter, causing the generated plugin file to contain and execute that code when accessed via HTTP. This makes it possible for authenticated attackers with Subscriber-level access and above to create arbitrary PHP files on the server and achieve remote code execution.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS