CVE-2021-47979

WordPress Plugin Backup and Restore 1.0.3 Arbitrary File Deletion

CVSS 8.7 HIGHEPSS 0.4%CWE-22

Vexday Risk Score

41Atenção

Decisão SSVC (CISA)

Attend

PoC disponível → acompanhar de perto

CVSS 8.7EPSS 0.4%KEV nãoPoC públicaNuclei —Metasploit —Patch —

Ciclo de vida

16 mai 2026Publicada no NVD

Recomendação: Planejar correção próxima — já existe PoC pública.

WordPress Plugin Backup and Restore 1.0.3 contains an arbitrary file deletion vulnerability that allows authenticated attackers to delete files by manipulating parameters in AJAX requests. Attackers can send POST requests to admin-ajax.php with crafted file_name and folder_name parameters to delete arbitrary files from the WordPress installation directory.

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Produtos afetados

Miniorange · Backup and Restore

PoCs públicas encontradas — 1

cve_referencewww.exploit-db.com/exploits/50503não verificado

⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://wordpress.org/plugins/backup-and-restore-for-wp/https://www.exploit-db.com/exploits/50503 https://www.miniorange.com/https://www.vulncheck.com/advisories/wordpress-plugin-backup-and-restore-arbitrary-file-deletion