Plugin iControlWP w wersji 5.5.3 i wcześniejszych zawiera krytyczną podatność umożliwiającą nieuwierzytelnioną eskalację uprawnień (privilege escalation). Zagrożenie jest wyjątkowo poważne, ponieważ atakujący nie potrzebuje żadnych poświadczeń ani interakcji użytkownika, aby je wykorzystać.
▸ Pokaż oryginał (EN)
Unauthenticated Privilege Escalation in iControlWP <= 5.5.3 versions.
Podatność sklasyfikowana jako CWE-266 (Incorrect Privilege Assignment) wskazuje na nieprawidłowe przypisywanie uprawnień w logice pluginu. Atakujący zdalnie, bez uwierzytelnienia, jest w stanie wywołać funkcjonalność pluginu, która skutkuje nadaniem mu wyższych uprawnień niż mu przysługują. Wektor ataku sieciowy (AV:N) przy braku wymaganej złożoności (AC:L) i bez konieczności posiadania konta (PR:N) czyni podatność trywialną do wykorzystania.
Atakujący może przejąć pełną kontrolę nad instalacją WordPress, uzyskując nieautoryzowany dostęp do poufnych danych, możliwość modyfikacji treści oraz potencjalnie pełne przejęcie serwera hostującego witrynę.
Należy niezwłocznie zaktualizować plugin iControlWP do wersji nowszej niż 5.5.3. Szczegóły dotyczące wersji z poprawką dostępne są w referencjach producenta oraz w bazie Patchstack. Do czasu aktualizacji zaleca się dezaktywację lub usunięcie pluginu.
Plugin iControlWP w wersjach 5.5.3 i wcześniejszych dla platformy WordPress.
Szczegółowy raport podatności dostępny w bazie Patchstack pod adresem wskazanym w referencjach. CVE opublikowane 2026-06-15.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H