CRITICAL✓ PATCH🇬🇧 English

CVE-2026-52703

Path traversal bez uwierzytelnienia w pluginie WordPress FastDup

CVSS 9.6v3.1pub. 2026-06-15

Plugin FastDup dla WordPress w wersjach do 2.7.2 włącznie zawiera podatność typu path traversal, którą może wykorzystać nieuwierzytelniony atakujący. Krytyczny poziom CVSS 9.6 wskazuje na możliwość poważnych konsekwencji dla poufności, integralności i dostępności danych.

Pokaż oryginał (EN)

Unauthenticated Path Traversal in FastDup <= 2.7.2 versions.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-35 (path traversal) polega na niewystarczającej walidacji ścieżek plików w żądaniach kierowanych do pluginu FastDup. Atakujący może skonstruować specjalnie spreparowane żądanie HTTP zawierające sekwencje traversal (np. '../'), które pozwalają na wyjście poza dozwolony katalog. Atak nie wymaga posiadania konta ani żadnych uprawnień w aplikacji, lecz wymaga interakcji użytkownika (UI:R). Podatność ma zasięg wykraczający poza komponent pluginu (S:C — zmiana zakresu).

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do plików systemu operacyjnego lub serwera WWW spoza katalogu webroot, co może prowadzić do ujawnienia poufnych danych (np. konfiguracji, kluczy), modyfikacji plików lub zakłócenia działania serwisu.

Mitygacja

Należy zaktualizować plugin FastDup do wersji wyższej niż 2.7.2. Szczegółowe informacje o dostępnej wersji patcha znajdują się w referencjach producenta opublikowanych przez Patchstack.

Kogo dotyczy

Plugin WordPress FastDup w wersjach 2.7.2 i wcześniejszych

Uwagi

Informacja o podatności pochodzi z bazy Patchstack. Brak potwierdzenia aktywnego wykorzystania (CISA KEV: NIE).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Path Traversal
CWE
Referencje
CVE-2026-52703 — Path traversal bez uwierzytelnienia w pluginie WordPress FastDup — CRITICAL 9.6 | CVEbaza.pl