Krytyczna luka wtyczki WordPress Insert PHP umożliwiająca zdalne wykonanie kodu
Krytyczna luka w wtyczce WordPress Insert PHP umożliwia zdalne wykonanie kodu przez REST API. Zalecana szybka aktualizacja i monitoring.
- CVSS
- 9.3 CRITICAL
- EPSS
- 42.41%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka WordPress Insert PHP w wersjach przed 3.3.1 zawiera lukę umożliwiającą nieautoryzowanym atakującym wykonanie dowolnego kodu PHP poprzez wstrzykiwanie złośliwych shortcode'ów za pośrednictwem REST API WordPressa. Atakujący mogą wysyłać spreparowane żądania POST do endpointu wp-json/wp/v2/posts, co pozwala na zdalne wykonanie kodu na serwerze.
Wpływ biznesowy
Luka o wysokim poziomie krytyczności (CVSS 9.3) stwarza poważne zagrożenie dla bezpieczeństwa serwerów hostingujących WordPress, umożliwiając zdalne wykonanie kodu bez uwierzytelnienia. Może to prowadzić do przejęcia kontroli nad serwerem, wycieku danych lub dalszej eskalacji ataku, co negatywnie wpływa na dostępność i integralność usług internetowych.
Rekomendowane działania administratora
Administratorzy powinni niezwłocznie zweryfikować wersję wtyczki Insert PHP i zaktualizować ją do wersji 3.3.1 lub nowszej, jeśli jest dostępna. W przypadku braku możliwości natychmiastowej aktualizacji zaleca się ograniczenie dostępu do REST API, monitorowanie logów pod kątem podejrzanych żądań POST do wp-json/wp/v2/posts oraz priorytetowe wdrożenie poprawek bezpieczeństwa.