Podatność typu argument injection w WordPress Toolkit przed wersją 6.11.0 (używanym w cPanel & WHM) pozwala uwierzytelnionemu zdalnemu użytkownikowi ominąć autoryzację między kontami (cross-tenant) i wykonywać polecenia CLI wp-toolkit w kontekście innego konta. Wysoki wynik CVSS 9.9 wynika z pełnego wpływu na poufność, integralność i dostępność z możliwością wykroczenia poza zakres uprawnień atakującego.
▸ Pokaż oryginał (EN)
Argument injection vulnerability in WordPress Toolkit before 6.11.0 as used in cPanel & WHM, allows remote authenticated users to bypass cross-tenant authorization and execute arbitrary wp-toolkit CLI commands as another account.
Podatność CWE-88 (argument injection) polega na tym, że dane wejściowe dostarczone przez uwierzytelnionego użytkownika są nieprawidłowo sanityzowane przed przekazaniem jako argumenty do interfejsu wiersza poleceń wp-toolkit CLI. Atakujący może wstrzyknąć dodatkowe argumenty, które zmieniają kontekst wykonania polecenia — w efekcie operacja jest wykonywana na koncie innego tenanta, omijając mechanizmy izolacji między kontami w środowisku cPanel & WHM. Nie jest wymagana interakcja użytkownika ani podwyższone uprawnienia — wystarczy posiadanie dowolnego uwierzytelnionego konta.
Atakujący może wykonywać dowolne polecenia wp-toolkit CLI jako inne konto w systemie, co prowadzi do pełnego przejęcia kontroli nad witryną WordPress innego tenanta, kradzieży danych, modyfikacji plików oraz potencjalnego dalszego ruchu bocznego (lateral movement) w środowisku hostingowym.
Należy zaktualizować WordPress Toolkit do wersji 6.11.0 lub nowszej. Szczegółowe informacje dostępne są w oficjalnym biuletynie bezpieczeństwa cPanel pod adresem wskazanym w referencjach: https://support.cpanel.net/hc/en-us/articles/41004584983703-WP-Toolkit-CVE-2026-47365
WordPress Toolkit przed wersją 6.11.0 zainstalowany jako komponent cPanel & WHM
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H