Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-4882 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-05-02 |
| Producent | WordPress |
| Produkt | User Registration Advanced Fields (plugin) |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Plugin User Registration Advanced Fields dla WordPressa jest podatny na arbitralny upload plików z powodu braku walidacji typu pliku w funkcji
URAF_AJAX::method_upload, we wszystkich wersjach do 1.6.20 włącznie. Umożliwia to nieuwierzytelnionym atakującym wgrywanie dowolnych plików na serwer dotkniętej witryny, co może skutkować zdalnym wykonaniem kodu (RCE). Uwaga: podatność może zostać wykorzystana wyłącznie wtedy, gdy w formularzu dodano pole “Profile Picture”.
Wymagane działania
Niezwłocznie zaktualizuj plugin User Registration Advanced Fields do wersji nowszej niż 1.6.20 zawierającej poprawkę. Do czasu wdrożenia patcha usuń pole “Profile Picture” z formularzy rejestracji lub całkowicie wyłącz plugin. Przeskanuj katalog uploads pod kątem podejrzanych plików (zwłaszcza .php, .phtml) oraz przeanalizuj logi serwera pod kątem żądań do endpointu AJAX method_upload.
Kogo dotyczy?
Podatność dotyczy produktu User Registration Advanced Fields (plugin) dla WordPress. Sprawdź czy Twoja organizacja korzysta z tego pluginu i czy w formularzach używane jest pole “Profile Picture”.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
