CVE-2026-8380
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
Wtyczka Frontend File Manager dla WordPress do wersji 23.6 nie weryfikuje poprawnie własności docelowych wpisów przed ich trwałym usunięciem, co pozwala uwierzytelnionym użytkownikom z poziomem autora i wyższym na trwałe usuwanie dowolnych wpisów i stron. Gdy administrator włączy opcję „Allow guest uploads”, ta sama luka staje się dostępna dla nieuwierzytelnionych użytkowników.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowane trwałe usunięcie treści, co może prowadzić do utraty danych, zakłócenia działania strony oraz potencjalnych strat finansowych i reputacyjnych.
Rekomendacja
Niezwłocznie zaktualizuj wtyczkę Frontend File Manager do najnowszej dostępnej wersji. Jeśli aktualizacja nie jest możliwa, wyłącz opcję „Allow guest uploads” i ogranicz uprawnienia użytkowników do niezbędnego minimum.
Oryginalny opis (angielski, źródło NVD)
The Frontend File Manager Plugin WordPress plugin through 23.6 does not properly verify ownership of every targeted post before permanent deletion, allowing authenticated users with author-level access and above to permanently delete arbitrary posts and pages. When the Frontend File Manager Plugin WordPress plugin through 23.6's "Allow guest uploads" setting is enabled by an administrator, the same deletion primitive becomes reachable by unauthenticated users.

