CRITICAL✓ PATCH🇬🇧 English

CVE-2026-34901

Nieuwierzytelniona eskalacja uprawnień w pluginie iControlWP dla WordPress

CVSS 9.8v3.1pub. 2026-06-15

Plugin iControlWP w wersji 5.5.3 i wcześniejszych zawiera krytyczną podatność umożliwiającą nieuwierzytelnioną eskalację uprawnień (privilege escalation). Zagrożenie jest wyjątkowo poważne, ponieważ atakujący nie potrzebuje żadnych poświadczeń ani interakcji użytkownika, aby je wykorzystać.

Pokaż oryginał (EN)

Unauthenticated Privilege Escalation in iControlWP <= 5.5.3 versions.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-266 (Incorrect Privilege Assignment) wskazuje na nieprawidłowe przypisywanie uprawnień w logice pluginu. Atakujący zdalnie, bez uwierzytelnienia, jest w stanie wywołać funkcjonalność pluginu, która skutkuje nadaniem mu wyższych uprawnień niż mu przysługują. Wektor ataku sieciowy (AV:N) przy braku wymaganej złożoności (AC:L) i bez konieczności posiadania konta (PR:N) czyni podatność trywialną do wykorzystania.

Skutki

Atakujący może przejąć pełną kontrolę nad instalacją WordPress, uzyskując nieautoryzowany dostęp do poufnych danych, możliwość modyfikacji treści oraz potencjalnie pełne przejęcie serwera hostującego witrynę.

Mitygacja

Należy niezwłocznie zaktualizować plugin iControlWP do wersji nowszej niż 5.5.3. Szczegóły dotyczące wersji z poprawką dostępne są w referencjach producenta oraz w bazie Patchstack. Do czasu aktualizacji zaleca się dezaktywację lub usunięcie pluginu.

Kogo dotyczy

Plugin iControlWP w wersjach 5.5.3 i wcześniejszych dla platformy WordPress.

Uwagi

Szczegółowy raport podatności dostępny w bazie Patchstack pod adresem wskazanym w referencjach. CVE opublikowane 2026-06-15.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
LPE
CWE
Referencje
CVE-2026-34901 — Nieuwierzytelniona eskalacja uprawnień w pluginie iControlWP dla WordPress — CRITICAL 9.8 | CVEbaza.pl