Krytyczna luka w UpdraftPlus (CVE-2026-10795). Zaktualizuj wtyczkę do 1.26.5

Czas czytania: 5 min.
Obrazek dla Krytyczna luka w UpdraftPlus (CVE-2026-10795). Zaktualizuj wtyczkę do 1.26.5

Podsumowanie

  • W UpdraftPlus odkryto krytyczną lukę CVE-2026-10795, która dotyczy wersji do 1.26.4 i została naprawiona w 1.26.5.
  • realne zagrożenie obejmuje głównie strony połączone z UpdraftCentral, a atak bez logowania może prowadzić nawet do uruchomienia dowolnego kodu na serwerze.
  • najlepszym krokiem jest natychmiastowa aktualizacja wtyczki, a na hostingu HitMe można też włączyć automatyczne aktualizacje z kopią zapasową przed zmianą.

Co dokładnie się stało

Firma Wordfence, która specjalizuje się w bezpieczeństwie WordPressa, ujawniła 10 czerwca 2026 krytyczną podatność w UpdraftPlus, popularnej wtyczce do kopii zapasowych i migracji z ponad 3 milionami aktywnych instalacji. Lukę oznaczono jako CVE-2026-10795. To tak zwany Unauthenticated Authentication Bypass, czyli obejście uwierzytelniania bez znajomości jakiegokolwiek hasła, które w efekcie pozwala wykonać dowolny kod na serwerze.

Luka otrzymała ocenę CVSS 8.1 na 10 (formalnie poziom wysoki), ale ze względu na skutek, czyli pełne przejęcie strony, Wordfence opisuje ją jako krytyczną. Podatność zgłosił badacz o pseudonimie „vtim” w ramach programu Wordfence Bug Bounty. Twórcy wtyczki zareagowali wzorowo: poprawkę w wersji 1.26.5 wydali 5 czerwca 2026, zaledwie kilka dni po otrzymaniu zgłoszenia.

Kogo dotyczy luka (a kto może spać spokojnie)

To najważniejsza informacja w całej sprawie. Podatne są wszystkie wersje UpdraftPlus do 1.26.4 włącznie, ale realne ryzyko dotyczy tylko stron, które kiedykolwiek były połączone z UpdraftCentral, czyli zdalnym panelem do zarządzania wieloma witrynami WordPress z jednego miejsca. Jeśli nigdy nie podpinałeś swojej strony pod UpdraftCentral, ta konkretna ścieżka ataku Cię nie dotyczy.

Problem w tym, że o takim połączeniu łatwo zapomnieć, a raz nawiązane pozostaje aktywne. Dlatego zalecenie jest jedno dla wszystkich: zaktualizuj wtyczkę. Aktualizacja jest darmowa, zajmuje chwilę i zamyka temat niezależnie od tego, czy korzystałeś z UpdraftCentral, czy nie.

Czym to grozi

Na podatnej stronie atakujący nie musi się logować. Wykorzystując błąd w bibliotece komunikacji zdalnej wtyczki, potrafi podszyć się pod administratora, który podłączył stronę do UpdraftCentral. Od tej chwili serwer traktuje jego polecenia tak, jakby wydawał je zaufany administrator.

krytyczna luka w updraftplus cve 2026 10795 infografika atak 16x9 gpt2 v2
UpdraftPlus: anatomia ataku

W praktyce oznacza to możliwość wgrania i aktywowania własnej, złośliwej wtyczki, na przykład prostego webshella (skryptu dającego zdalny dostęp do serwera). A stąd już prosta droga do wykonania dowolnego kodu PHP i pełnego przejęcia serwisu: podmiany treści, kradzieży danych klientów, rozsyłania spamu czy instalacji kolejnego złośliwego oprogramowania.

Technicznie luka brała się z dwóch nakładających się błędów: dało się obejść weryfikację podpisu wiadomości, a nieobsłużony błąd odszyfrowania powodował, że klucz szyfrujący „zwijał się” do przewidywalnej wartości (samych zer). Atakujący mógł odtworzyć dokładnie taką konfigurację u siebie i wysłać spreparowane polecenie, które serwer przyjmował jako autentyczne. Poprawka 1.26.5 dodaje brakującą kontrolę wyniku odszyfrowania i zamyka tę furtkę.

Co zrobić teraz (zajmie 5 minut)

  1. Zaktualizuj wtyczkę. Zaloguj się do panelu WordPress, wejdź w Wtyczki, Zainstalowane wtyczki i przy UpdraftPlus kliknij „Aktualizuj teraz”. Celujesz w wersję 1.26.5 lub nowszą.
  2. Sprawdź numer wersji. Po aktualizacji upewnij się, że przy UpdraftPlus widnieje 1.26.5 (lub wyższa). Dopiero to oznacza, że jesteś bezpieczny.
  3. Nie używasz UpdraftCentral? Jeśli nigdy świadomie nie korzystałeś ze zdalnego zarządzania, możesz dodatkowo odłączyć stronę od UpdraftCentral w ustawieniach wtyczki. A jeśli sama wtyczka nie jest Ci potrzebna, rozważ oparcie kopii zapasowych o narzędzia hostingu (np. AutoInstalator).
  4. Masz kilka stron? Zaktualizuj UpdraftPlus na każdej z osobna. Każda instalacja jest podatna niezależnie.

Jak nie martwić się następnym razem: automatyczne aktualizacje

Ta historia to podręcznikowy przykład, dlaczego liczy się czas reakcji. Łatka była gotowa 5 czerwca, ale chroni wyłącznie te strony, na których ktoś faktycznie ją zainstalował. Każdy dzień zwłoki to otwarte okno dla atakujących, którzy po publikacji szczegółów dokładnie wiedzą, czego szukać.

Dlatego w HitMe stawiamy na automatyzację. Na naszym hostingu masz do dyspozycji AutoInstalator (Installatron), w którym jednym przełącznikiem ustawisz, by WordPress oraz jego wtyczki aktualizowały się same, gdy tylko pojawi się nowa wersja. Poprawka taka jak UpdraftPlus 1.26.5 instaluje się wtedy automatycznie, bez czekania, aż przypomnisz sobie o zalogowaniu do panelu. To najprostszy sposób, żeby skrócić okno ekspozycji z dni do godzin.

Co ważne, AutoInstalator przed każdą aktualizacją wykonuje kopię zapasową, więc automatyczne aktualizacje są bezpieczne: gdyby coś poszło nie tak, w każdej chwili przywrócisz stronę do stanu sprzed zmiany. Więcej o tym, co ułatwia, opisaliśmy w poradniku Instalacja na hostingu jednym kliknięciem.

Autoinstalator i Automatyczne aktualizacje znajdziesz w każdym hostingu w HitMe.

W skrócie

  • Luka: CVE-2026-10795 w UpdraftPlus, krytyczna w skutkach (przejęcie strony bez logowania).
  • Podatne wersje: do 1.26.4 włącznie. Bezpieczna wersja: 1.26.5.
  • Realne ryzyko: strony połączone kiedykolwiek z UpdraftCentral, ale zaktualizować powinni wszyscy.
  • Co zrobić: zaktualizować UpdraftPlus do 1.26.5 już teraz.
  • Jak uniknąć powtórki: włączyć automatyczne aktualizacje wtyczek, na przykład przez AutoInstalator (Installatron) na hostingu w HitMe.

Źródło: advisory Wordfence, strona wtyczki na WordPress.org, rekord CVE-2026-10795.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *