Katalog CVE

CVE-2026-9067

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.06%

Percentyl 18 — wyżej niż 18% wszystkich znanych CVE

Streszczenie

Wtyczka Schema & Structured Data for WP & AMP dla WordPressa przed wersją 1.60 nie sprawdza uprawnień użytkowników w swoich handlerach AJAX do przesyłania plików oraz nie weryfikuje rzeczywistej zawartości przesyłanych plików w odniesieniu do zamierzonego typu mediów, co pozwala nieautoryzowanym użytkownikom na przesyłanie dowolnych typów plików akceptowanych przez bibliotekę mediów WordPressa.

Ocena ryzyka

Organizacja może być narażona na ataki, w których nieautoryzowani użytkownicy przesyłają złośliwe pliki, co może prowadzić do kompromitacji systemu lub wycieku danych.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji oraz wdrożenie dodatkowych mechanizmów weryfikacji uprawnień i typów plików na serwerze.

Oryginalny opis (angielski, źródło NVD)

The Schema & Structured Data for WP & AMP WordPress plugin before 1.60 does not check user capabilities on its frontend AJAX file-upload handlers and does not validate the actual content of uploaded files against the endpoint's intended media type, allowing unauthenticated users to upload any file type accepted by WordPress's media library through endpoints that should only accept images or videos.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS