CRITICAL✓ PATCH🇬🇧 English

CVE-2026-40772

Nieuwierzytelniony arbitrary file upload w wtyczce GeekyBot dla WordPress

CVSS 10.0v3.1pub. 2026-06-15

Wtyczka GeekyBot w wersjach do 1.2.2 włącznie zawiera krytyczną podatność umożliwiającą nieuwierzytelnionemu atakującemu przesyłanie dowolnych plików na serwer. Ze względu na brak wymagania jakiegokolwiek uwierzytelnienia, podatność ta jest wyjątkowo łatwa do wykorzystania i może prowadzić do pełnego przejęcia kontroli nad serwerem.

Pokaż oryginał (EN)

Unauthenticated Arbitrary File Upload in GeekyBot <= 1.2.2 versions.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-434 (Unrestricted Upload of File with Dangerous Type) polega na braku odpowiedniej weryfikacji typów i zawartości przesyłanych plików. Atakujący bez posiadania jakiegokolwiek konta czy uprawnień może wysłać specjalnie spreparowane żądanie do podatnego endpointu wtyczki i przesłać na serwer plik wykonywalny, np. webshell PHP. Przesłany plik może następnie zostać uruchomiony przez atakującego bezpośrednio przez przeglądarkę lub żądanie HTTP.

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na wykonanie dowolnego kodu na serwerze (RCE), co może prowadzić do pełnego przejęcia serwisu WordPress, kradzieży danych, instalacji backdoora lub użycia serwera jako punktu wyjścia do dalszych ataków w sieci.

Mitygacja

Należy niezwłocznie zaktualizować wtyczkę GeekyBot do wersji wyższej niż 1.2.2. Jeśli aktualizacja nie jest dostępna, należy natychmiast dezaktywować i usunąć wtyczkę. Szczegółowe informacje o dostępnych patchach należy sprawdzić w referencjach producenta oraz w bazie Patchstack.

Kogo dotyczy

Wtyczka GeekyBot dla WordPress w wersjach 1.2.2 i wcześniejszych

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje
CVE-2026-40772 — Nieuwierzytelniony arbitrary file upload w wtyczce GeekyBot dla WordPress — CRITICAL 10.0 | CVEbaza.pl