CRITICAL🇬🇧 English

CVE-2026-47365

Argument injection w WordPress Toolkit — obejście autoryzacji i RCE jako inny tenant

CVSS 9.9v3.1pub. 2026-06-12

Podatność typu argument injection w WordPress Toolkit przed wersją 6.11.0 (używanym w cPanel & WHM) pozwala uwierzytelnionemu zdalnemu użytkownikowi ominąć autoryzację między kontami (cross-tenant) i wykonywać polecenia CLI wp-toolkit w kontekście innego konta. Wysoki wynik CVSS 9.9 wynika z pełnego wpływu na poufność, integralność i dostępność z możliwością wykroczenia poza zakres uprawnień atakującego.

Pokaż oryginał (EN)

Argument injection vulnerability in WordPress Toolkit before 6.11.0 as used in cPanel & WHM, allows remote authenticated users to bypass cross-tenant authorization and execute arbitrary wp-toolkit CLI commands as another account.

🤖 Analiza AI
Jak działa

Podatność CWE-88 (argument injection) polega na tym, że dane wejściowe dostarczone przez uwierzytelnionego użytkownika są nieprawidłowo sanityzowane przed przekazaniem jako argumenty do interfejsu wiersza poleceń wp-toolkit CLI. Atakujący może wstrzyknąć dodatkowe argumenty, które zmieniają kontekst wykonania polecenia — w efekcie operacja jest wykonywana na koncie innego tenanta, omijając mechanizmy izolacji między kontami w środowisku cPanel & WHM. Nie jest wymagana interakcja użytkownika ani podwyższone uprawnienia — wystarczy posiadanie dowolnego uwierzytelnionego konta.

Skutki

Atakujący może wykonywać dowolne polecenia wp-toolkit CLI jako inne konto w systemie, co prowadzi do pełnego przejęcia kontroli nad witryną WordPress innego tenanta, kradzieży danych, modyfikacji plików oraz potencjalnego dalszego ruchu bocznego (lateral movement) w środowisku hostingowym.

Mitygacja

Należy zaktualizować WordPress Toolkit do wersji 6.11.0 lub nowszej. Szczegółowe informacje dostępne są w oficjalnym biuletynie bezpieczeństwa cPanel pod adresem wskazanym w referencjach: https://support.cpanel.net/hc/en-us/articles/41004584983703-WP-Toolkit-CVE-2026-47365

Kogo dotyczy

WordPress Toolkit przed wersją 6.11.0 zainstalowany jako komponent cPanel & WHM

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2026-47365 — Argument injection w WordPress Toolkit — obejście autoryzacji i RCE jako inny tenant — CRITICAL 9.9 | CVEbaza.pl