Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-6555 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-05-20 |
| Producent | WordPress |
| Produkt | ProSolution WP Client (plugin) |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Wtyczka ProSolution WP Client dla WordPress jest podatna na Arbitrary File Upload (przesyłanie dowolnych plików) w wersjach do 2.0.0 włącznie. Przyczyną jest niespójność walidacji tablicy, w której jedynie pierwszy plik w przesyłanej tablicy przechodzi weryfikację rozszerzenia oraz typu MIME, podczas gdy wszystkie pliki są przetwarzane i zapisywane do katalogu dostępnego z poziomu serwera WWW. Umożliwia to niezautoryzowanym atakującym przesłanie złośliwych plików PHP i osiągnięcie zdalnego wykonania kodu (RCE) poprzez wysłanie poprawnego pierwszego pliku, a następnie złośliwego…
Wymagane działania
Zastosuj poprawki lub środki zaradcze producenta tak szybko, jak będą dostępne.
Kogo dotyczy?
Podatność dotyczy produktu ProSolution WP Client (plugin) firmy WordPress. Sprawdź czy Twoja organizacja używa tego oprogramowania i czy wymaga aktualizacji.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
