Katalog CVE

CVE-2026-9009

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Crawlomatic Multipage Scraper Post Generator dla WordPress jest podatna na zdalne wykonanie kodu we wszystkich wersjach do 2.7.2 włącznie, poprzez funkcję filter_content. Problem wynika z braku sanitizacji atrybutu 'callback_raw', co pozwala na wykonanie niebezpiecznych funkcji PHP przez uwierzytelnionych atakujących.

Ocena ryzyka

Atakujący z dostępem na poziomie autora mogą wykonać dowolny kod na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji oraz przeglądanie i ograniczenie dostępu do funkcji, które mogą być wywoływane przez atrybuty shortcode.

Oryginalny opis (angielski, źródło NVD)

The Crawlomatic Multipage Scraper Post Generator plugin for WordPress is vulnerable to Remote Code Execution in all versions up to, and including, 2.7.2 via the filter_content function. This is due to passing the attacker-supplied 'callback_raw' shortcode attribute directly into call_user_func() with no sanitization or allowlist validation, relying solely on an is_callable() check that permits dangerous PHP built-ins such as system, shell_exec, exec, passthru, and assert. This makes it possible for authenticated attackers, with author-level access and above, to execute code on the server. An identical sink exists for the 'callback' attribute, providing a second independent vector through the same shortcode.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS