Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-1555 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-04-22 |
| Producent | WordPress |
| Produkt | WebStack (theme) |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | 0.1% (percentyl: 35%) |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Motyw WebStack dla WordPress jest podatny na arbitrary file upload z powodu braku walidacji typu pliku w funkcji io_img_upload() we wszystkich wersjach do 1.2024 włącznie. Pozwala to nieuwierzytelnionym atakującym na wgrywanie dowolnych plików na serwer dotknięty podatnością, co może umożliwić zdalne wykonanie kodu (RCE).
Wymagane działania
Niezwłocznie zaktualizuj motyw WebStack do wersji wyższej niż 1.2024, w której podatność została usunięta. Do czasu aktualizacji rozważ wyłączenie motywu lub ograniczenie dostępu do funkcji uploadu poprzez WAF. Przejrzyj katalog uploads pod kątem nieautoryzowanych plików (zwłaszcza .php, .phtml) i zweryfikuj integralność instalacji WordPress.
Kogo dotyczy?
Podatność dotyczy motywu WebStack dla WordPress w wersjach do 1.2024 włącznie. Sprawdź czy Twoja organizacja używa tego motywu i niezwłocznie zaktualizuj go do wersji zawierającej poprawkę bezpieczeństwa.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
