Krytyczna luka wtyczki WordPress Baggage Freight Shipping Australia umożliwiająca zdalne wykonanie kodu

Krytyczna luka w wtyczce WordPress umożliwia zdalne wykonanie kodu przez nieautoryzowany upload plików. Sprawdź zalecenia bezpieczeństwa.
CVE-2018-25436CVSS 9.3Web

Krytyczna luka wtyczki WordPress Baggage Freight Shipping Australia umożliwiająca zdalne wykonanie kodu

Krytyczna luka w wtyczce WordPress umożliwia zdalne wykonanie kodu przez nieautoryzowany upload plików. Sprawdź zalecenia bezpieczeństwa.

CVSS
9.3 CRITICAL
EPSS
47.1%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka WordPress Baggage Freight Shipping Australia 0.1.0 zawiera lukę umożliwiającą nieautoryzowanym atakującym przesyłanie dowolnych plików poprzez endpoint upload-package.php. Brak walidacji przesyłanych plików pozwala na zdalne wykonanie kodu.

Wpływ biznesowy

Luka ta stanowi poważne zagrożenie dla bezpieczeństwa stron opartych na WordPress z zainstalowaną podatną wtyczką, umożliwiając atakującym przejęcie kontroli nad serwerem. Może to prowadzić do utraty danych, deface'u strony lub wykorzystania zasobów serwera do dalszych ataków.

Rekomendowane działania administratora

Administratorzy powinni niezwłocznie sprawdzić, czy używają podatnej wersji wtyczki i rozważyć jej usunięcie lub aktualizację do bezpiecznej wersji, jeśli jest dostępna. Zaleca się ograniczenie dostępu do endpointu upload-package.php, monitorowanie logów pod kątem podejrzanej aktywności oraz stosowanie zasad minimalnych uprawnień dla przesyłanych plików.

Źródła