Šta se desilo?

Otkrivena je ozbiljna sigurnosna ranjivost u WordPress dodatku CMP - Coming Soon & Maintenance Plugin verzije 4.1.16 i starije. Preko AJAX akcije nazvane `cmp_theme_update_install`, napadač sa administratorskim dozvolama može prisiliti server da preuzme i raspakuje zlonamerni ZIP arhiv sa udaljenog servera direktno u dostupan direktorijum na veb sajtu, čime omogućava izvršavanje proizvoljnog koda.

Koga pogađa?

Ugroženi su vlasnici WordPress sajtova koji koriste dodatak CMP - Coming Soon & Maintenance Plugin u verziji 4.1.16 ili ranijoj. Posebno su izloženi oni sajtovi gde administrativni nalozi nemaju odgovarajuću zaštitu ili su pristupačni neovlašćenim licima.

Kako se zaštititi?

  • Hitno ažurirajte CMP dodatak na verziju noviju od 4.1.16
  • Ograničite administrativni pristup samo na pouzdane korisnike
  • Redovno menjajte lozinke administratorskih naloga
  • Primenite jače autentifikacione mehanizme - dvofaktorska autentifikacija
  • Redovno pratite aktivnosti na veb sajtu kroz WordPress logove
  • Održavajte sve WordPress jezgro i dodatke ažurirane

Tehnički detalji

CVE oznaka: CVE-2026-6518. Ranjivost je klasifikovana sa CVSS skorom od 8.8 (VISOK nivo). Problem leži u tome što funkcija proverava samo `publish_pages` kapacitet umesto `manage_options` kapaciteta, što znači da Urednici visokog nivoa mogu da pristupe funkcionalnosti. Dodatno, nedostaje nonce zaštita za korisnike sa dozvolom Urednik, što sprečava njihovu eksploataciju, ali administratori ostaju ranljivi. Preuzeti fajlovi se ekstraktuju u direktorijum `wp-content/plugins/cmp-premium-themes/` bez provere njihovog sadržaja.

Preporuka Sajber Radara

Vlasnici WordPress sajta koji koriste ovaj dodatak trebaju da deluju odmah. Ažuriranje je neophodno jer ranjivost omogućava potpuni preuzeta kontrole nad sajtom. Ako nije moguće brzo ažuriranje, privremeno onemogućite dodatak.