Krytyczna luka wtyczki WordPress Peugeot Music 1.0 umożliwiająca zdalne przesyłanie plików

Krytyczna luka w wtyczce Peugeot Music 1.0 WordPress umożliwia zdalne przesyłanie i wykonanie złośliwych plików. Zalecane szybkie aktualizacje i monitorowanie.
CVE-2018-25335CVSS 9.3Web

Krytyczna luka wtyczki WordPress Peugeot Music 1.0 umożliwiająca zdalne przesyłanie plików

Krytyczna luka w wtyczce Peugeot Music 1.0 WordPress umożliwia zdalne przesyłanie i wykonanie złośliwych plików. Zalecane szybkie aktualizacje i monitorowanie.

CVSS
9.3 CRITICAL
EPSS
40.02%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka WordPress Peugeot Music 1.0 posiada krytyczną lukę pozwalającą nieautoryzowanym atakującym na przesyłanie złośliwych plików poprzez endpoint upload.php. Manipulacja parametrem 'name' umożliwia wykonanie kodu z katalogu przesłanych plików.

Wpływ biznesowy

Luka ta może prowadzić do przejęcia kontroli nad serwerem poprzez wykonanie złośliwego kodu, co stanowi poważne zagrożenie dla integralności i dostępności usług internetowych opartych na WordPress. Atakujący mogą wykorzystać tę podatność do eskalacji uprawnień lub rozprzestrzeniania złośliwego oprogramowania.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji wtyczki Peugeot Music oraz ich wdrożenie. W przypadku braku łatki, ograniczenie dostępu do endpointu upload.php, monitorowanie logów serwera pod kątem podejrzanej aktywności oraz ograniczenie możliwości przesyłania plików do zaufanych użytkowników. Priorytetowe traktowanie tej podatności ze względu na jej krytyczny charakter.

Źródła