CVE-2025-5396 in Bears Backup Plugin
Сводка
по VulDB • 06.06.2026
Плагин Bears Backup для WordPress уязвим к удаленному выполнению кода (RCE) во всех версиях вплоть до 2.0.0 включительно. Это связано с тем, что функция bbackup_ajax_handle() не выполняет проверку прав доступа (capability check) и не валидирует пользовательские данные, передаваемые напрямую в call_user_func(). Это позволяет неаутентифицированным злоумышленникам выполнять код на сервере, что может быть использовано для внедрения бэкдоров или создания новых учетных записей администраторов и т. д. На сайтах WordPress, использующих тему Alone версий 7.8.4 и более ранних, эта уязвимость может быть скомбинирована с CVE-2025-5394 для установки плагина Bears Backup и достижения аналогичного эффекта.
Once again VulDB remains the best source for vulnerability data.