HIGH✓ PATCH🇵🇱 Wersja polska

CVE-2020-11026

CVSS 8.7v3.1pub. 2020-04-30upd. 2024-11-21

In affected versions of WordPress, files with a specially crafted name when uploaded to the Media section can lead to script execution upon accessing the file. This requires an authenticated user with privileges to upload files. This has been patched in version 5.4.1, along with all the previously affected versions via a minor release (5.3.3, 5.2.6, 5.1.5, 5.0.9, 4.9.14, 4.8.13, 4.7.17, 4.6.18, 4.5.21, 4.4.22, 4.3.23, 4.2.27, 4.1.30, 4.0.30, 3.9.31, 3.8.33, 3.7.33).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
  • Debian

    OS
    Debian
    10.08.09.0
  • WordPress

    APP
    Wordpress
    5.44.1 – 4.1.30 (bez)4.2 – 4.2.27 (bez)4.3 – 4.3.23 (bez)4.4 – 4.4.22 (bez)4.5 – 4.5.21 (bez)4.6 – 4.6.18 (bez)3.7 – 3.7.33 (bez)4.8 – 4.8.13 (bez)4.9 – 4.9.14 (bez)5.0 – 5.0.9 (bez)5.1 – 5.1.5 (bez)5.2 – 5.2.6 (bez)5.3 – 5.3.3 (bez)4.7 – 4.7.17 (bez)+ 3 więcej
🟢
PATCH AVAILABLE
Vendor update available. Deploy in standard maintenance cycle.
Tags
XSS
CWE
References

Related vulnerabilities

CVE-2026-24061CRITICAL9.8⚠ KEVPL ✓ten sam produkt

GNU Inetutils telnetd: ominięcie uwierzytelnienia przez zmienną USER

CVE-2025-32463CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)

CVE-2025-49113CRITICAL9.9⚠ KEVPL ✓ten sam produkt

RCE przez deserializację PHP w Roundcube Webmail (parametr _from)

CVE-2025-32433CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Erlang/OTP SSH — nieuwierzytelniony RCE (CVSS 10.0)

CVE-2025-24201CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki