CRITICAL✓ PATCH🇬🇧 English

CVE-2026-48836

RCE bez uwierzytelnienia w pluginie WordPress Easy Invoice <= 2.1.19

CVSS 10.0v3.1pub. 2026-06-15

Podatność krytyczna w pluginie WordPress Easy Invoice w wersjach do 2.1.19 włącznie umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu na serwerze. Brak wymogu jakiegokolwiek uwierzytelnienia sprawia, że atak może przeprowadzić każdy użytkownik sieci.

Pokaż oryginał (EN)

Unauthenticated Remote Code Execution (RCE) in Easy Invoice <= 2.1.19 versions.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-94 (Code Injection) polega na możliwości wstrzyknięcia i wykonania złośliwego kodu przez atakującego bez konieczności posiadania konta w systemie WordPress. Wektor ataku sieciowego (AV:N) przy braku wymagań dotyczących uprawnień (PR:N) i interakcji użytkownika (UI:N) oznacza, że exploit może być przeprowadzony zdalnie przez dowolną osobę mającą dostęp do serwera WWW. Zakres podatności wykracza poza sam plugin (S:C), co wskazuje na możliwość wpływu na szerszy kontekst systemu.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem — wykonać dowolny kod, odczytać lub zmodyfikować dane (w tym dane faktur i klientów), a także całkowicie wyłączyć działanie serwisu. Kompromitacja obejmuje poufność, integralność i dostępność systemu na poziomie krytycznym.

Mitygacja

Należy niezwłocznie zaktualizować plugin Easy Invoice do wersji wyższej niż 2.1.19. Szczegółowe informacje o dostępnym patchu dostępne są w referencjach producenta oraz w bazie Patchstack. Do czasu aktualizacji zaleca się wyłączenie lub deinstalację pluginu.

Kogo dotyczy

Plugin WordPress Easy Invoice w wersjach 2.1.19 i wcześniejszych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCE
CWE
Referencje