CRITICAL✓ PATCH🇬🇧 English

CVE-2026-45444

Nieograniczony upload plików w pluginie Gift Cards For WooCommerce Pro

CVSS 10.0v3.1pub. 2026-05-20upd. 2026-05-21

Krytyczna podatność w pluginie WordPress 'Gift Cards For WooCommerce Pro' (do wersji 4.2.6) umożliwia nieautoryzowanym użytkownikom przesyłanie plików niebezpiecznych typów na serwer. Błąd otrzymał maksymalny wynik CVSS 10.0, co wskazuje na możliwość pełnego przejęcia kontroli nad serwerem.

Pokaż oryginał (EN)

Unrestricted Upload of File with Dangerous Type vulnerability in WP Swings Gift Cards For WooCommerce Pro allows Using Malicious Files. This issue affects Gift Cards For WooCommerce Pro: from n/a through 4.2.6.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-434 (Unrestricted Upload of File with Dangerous Type) wynika z braku odpowiedniej weryfikacji typu i zawartości przesyłanych plików przez plugin. Atakujący może przesłać plik wykonywalny (np. webshell PHP) na serwer bez konieczności uwierzytelnienia, autoryzacji ani interakcji po stronie użytkownika. Wektor ataku sieciowy (AV:N) przy braku wymaganych uprawnień (PR:N) i braku interakcji użytkownika (UI:N) oznacza, że exploit może być wykonany zdalnie przez każdą osobę mającą dostęp do sieci.

Skutki

Atakujący może uzyskać możliwość zdalnego wykonania kodu (RCE) na serwerze poprzez uruchomienie przesłanego złośliwego pliku, co może prowadzić do pełnego przejęcia serwera, kradzieży danych, modyfikacji treści witryny oraz lateral movement w infrastrukturze hostingowej.

Mitygacja

Należy niezwłocznie zaktualizować plugin 'Gift Cards For WooCommerce Pro' do wersji wyższej niż 4.2.6. Szczegółowe informacje o dostępnych patchach znajdują się w referencjach producenta oraz w bazie Patchstack. Do czasu aktualizacji zaleca się rozważenie tymczasowego wyłączenia pluginu.

Kogo dotyczy

Plugin 'Gift Cards For WooCommerce Pro' autorstwa WP Swings w wersjach od początku istnienia do 4.2.6 włącznie, działający na platformie WordPress z WooCommerce.

Uwagi

Podatność została udokumentowana przez serwis Patchstack. Maksymalny wynik CVSS 10.0 wynika z zakresu wpływu obejmującego systemy zewnętrzne (S:C) oraz pełnej kompromitacji poufności, integralności i dostępności (C:H/I:H/A:H).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje