CVE-2026-4853

Name of the Vulnerable Software and Affected Versions JetBackup – Backup, Restore & Migrate versões anteriores a 3.1.19.9

Description A validação insuficiente de entrada no parâmetro fileName no manipulador de upload de arquivos permite a travessia de diretório (path traversal). O plugin utiliza sanitize text field(), que remove tags HTML, mas não bloqueia sequências de travessia de caminho como '../'. A função Upload::getFileLocation() concatena esse nome de arquivo não sanitizado sem utilizar basename() ou verificar se o caminho resolvido permanece dentro do diretório pretendido. Consequentemente, quando um arquivo inválido é enviado, a lógica de limpeza aplica dirname() ao caminho atravessado e o passa para Util::rm(), que exclui recursivamente o diretório resolvido. Atacantes autenticados com acesso de nível de administrador podem usar isso para excluir diretórios críticos do WordPress, como 'wp-content/plugins', causando interrupção grave no site.

Recommendations Atualize o plugin para uma versão posterior à 3.1.19.8.