Krytyczna luka wtyczki WordPress Insert PHP umożliwiająca zdalne wykonanie kodu

Krytyczna luka w wtyczce WordPress Insert PHP umożliwia zdalne wykonanie kodu przez REST API. Zalecana szybka aktualizacja i monitoring.
CVE-2017-20251CVSS 9.3Web

Krytyczna luka wtyczki WordPress Insert PHP umożliwiająca zdalne wykonanie kodu

Krytyczna luka w wtyczce WordPress Insert PHP umożliwia zdalne wykonanie kodu przez REST API. Zalecana szybka aktualizacja i monitoring.

CVSS
9.3 CRITICAL
EPSS
42.41%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka WordPress Insert PHP w wersjach przed 3.3.1 zawiera lukę umożliwiającą nieautoryzowanym atakującym wykonanie dowolnego kodu PHP poprzez wstrzykiwanie złośliwych shortcode'ów za pośrednictwem REST API WordPressa. Atakujący mogą wysyłać spreparowane żądania POST do endpointu wp-json/wp/v2/posts, co pozwala na zdalne wykonanie kodu na serwerze.

Wpływ biznesowy

Luka o wysokim poziomie krytyczności (CVSS 9.3) stwarza poważne zagrożenie dla bezpieczeństwa serwerów hostingujących WordPress, umożliwiając zdalne wykonanie kodu bez uwierzytelnienia. Może to prowadzić do przejęcia kontroli nad serwerem, wycieku danych lub dalszej eskalacji ataku, co negatywnie wpływa na dostępność i integralność usług internetowych.

Rekomendowane działania administratora

Administratorzy powinni niezwłocznie zweryfikować wersję wtyczki Insert PHP i zaktualizować ją do wersji 3.3.1 lub nowszej, jeśli jest dostępna. W przypadku braku możliwości natychmiastowej aktualizacji zaleca się ograniczenie dostępu do REST API, monitorowanie logów pod kątem podejrzanych żądań POST do wp-json/wp/v2/posts oraz priorytetowe wdrożenie poprawek bezpieczeństwa.

Źródła