CRITICAL✓ PATCH🇬🇧 English

CVE-2026-57700

OMGF Pro: nieograniczony upload pliku — krytyczna podatność RCE

CVSS 10.0v3.1pub. 2026-06-25upd. 2026-06-29

Wtyczka OMGF Pro dla WordPress w wersji do 5.2.6 zawiera krytyczną podatność typu unrestricted file upload (CWE-434), umożliwiającą przesyłanie złośliwych plików bez odpowiedniej weryfikacji. Podatność uzyskała maksymalny wynik CVSS 10.0, co oznacza możliwość pełnego przejęcia kontroli nad serwerem bez żadnego uwierzytelnienia.

Pokaż oryginał (EN)

Unrestricted Upload of File with Dangerous Type vulnerability in Daan.Dev OMGF Pro allows Using Malicious Files. This issue affects OMGF Pro: from n/a through 5.2.6.

🤖 Analiza AI
Jak działa

Podatność polega na braku odpowiednich ograniczeń dotyczących typów plików akceptowanych przez mechanizm upload w wtyczce OMGF Pro. Atakujący może przesłać plik o niebezpiecznym typie (np. skrypt PHP) na serwer docelowy bez konieczności posiadania konta ani interakcji ze strony użytkownika. Po umieszczeniu złośliwego pliku na serwerze możliwe jest jego zdalne wykonanie, co prowadzi do kompromitacji całego środowiska WordPress.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem — odczytywać i modyfikować dane (C:H/I:H), a także powodować niedostępność usługi (A:H). Możliwe jest wykonanie dowolnego kodu po stronie serwera (RCE) oraz eskalacja ataku na inne systemy w sieci (S:C — zmiana zakresu).

Mitygacja

Należy niezwłocznie zaktualizować wtyczkę OMGF Pro do wersji wyższej niż 5.2.6. Szczegółowe informacje o dostępnym patchu dostępne są w referencjach producenta oraz w bazie Patchstack (https://patchstack.com/database/wordpress/plugin/host-google-fonts-pro/vulnerability/wordpress-omgf-pro-plugin-5-2-6-arbitrary-file-upload-vulnerability). Do czasu aktualizacji zaleca się wyłączenie lub usunięcie wtyczki.

Kogo dotyczy

Wtyczka OMGF Pro (WordPress) autorstwa Daan.Dev — wersje od początku istnienia do 5.2.6 włącznie.

Uwagi

Podatność zgłoszona przez Patchstack. Wektor ataku sieciowy, brak wymagań uwierzytelnienia i interakcji użytkownika (AV:N/AC:L/PR:N/UI:N) przy maksymalnym CVSS 10.0 czyni tę podatność wyjątkowo niebezpieczną mimo braku wpisu w CISA KEV.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje
CVE-2026-57700 — OMGF Pro: nieograniczony upload pliku — krytyczna podatność RCE — CRITICAL 10.0 | CVEbaza.pl