CVE-2026-9860
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 43 — wyżej niż 43% wszystkich znanych CVE
Streszczenie
Wtyczka Offload, AI & Optimize with Cloudflare Images dla WordPress jest podatna na zdalne wykonanie kodu we wszystkich wersjach do 1.10.2 włącznie, poprzez parametr 'account-id'. Problem wynika z niewystarczającego egzekwowania uprawnień w obsłudze AJAX cf_images_do_setup, co pozwala na wykonanie kodu przez uwierzytelnionych atakujących z dostępem na poziomie autora.
Ocena ryzyka
Atakujący z dostępem na poziomie autora mogą wykorzystać tę podatność do wykonania dowolnego kodu na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji oraz przegląd uprawnień użytkowników, aby ograniczyć dostęp do krytycznych funkcji.
Oryginalny opis (angielski, źródło NVD)
The Offload, AI & Optimize with Cloudflare Images plugin for WordPress is vulnerable to Remote Code Execution in all versions up to, and including, 1.10.2 via the 'account-id' parameter parameter. This is due to insufficient privilege enforcement on the cf_images_do_setup AJAX handler, which requires only the upload_files capability (Author+) rather than manage_options before writing to wp-config.php, combined with the absence of single-quote escaping — sanitize_text_field() does not strip single quotes, and filter_input(INPUT_POST) bypasses wp_magic_quotes() slashing — allowing a single quote in the account-id or api-key parameter to break out of the single-quoted PHP string literal in the write_config() define() statement. This makes it possible for authenticated attackers, with author-level access and above, to execute code on the server. This is possible because the 'cf-images-nonce' nonce required by the AJAX handler is exposed to all Author-level and above users on wp-admin/upload.php via the CFImages JavaScript object, meaning any upload-capable user can satisfy the nonce check and reach the vulnerable wp-config.php write path.

