CVE-2026-9200
WysokieStreszczenie
Wtyczka Query Shortcode dla WordPressa jest podatna na atak Local File Inclusion we wszystkich wersjach do 0.2.1 włącznie, co umożliwia atakującym z poziomem dostępu co najmniej 'contributor' dołączanie i wykonywanie dowolnych plików .php na serwerze.
Ocena ryzyka
Atakujący mogą wykorzystać tę podatność do obejścia kontroli dostępu, uzyskania wrażliwych danych lub wykonania kodu PHP, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację wtyczki Query Shortcode do najnowszej wersji, aby usunąć tę podatność oraz przeglądanie i ograniczenie dostępu do plików .php na serwerze.
Oryginalny opis (angielski, źródło NVD)
The Query Shortcode plugin for WordPress is vulnerable to Local File Inclusion in all versions up to, and including, 0.2.1 via the shortcode function. This makes it possible for authenticated attackers, with contributor-level access and above, to include and execute arbitrary .php files on the server, allowing the execution of any PHP code in those files. This can be used to bypass access controls, obtain sensitive data, or achieve code execution in cases where .php file types can be uploaded and included.

