Krytyczna luka wtyczki WordPress Baggage Freight Shipping Australia umożliwiająca zdalne wykonanie kodu
Krytyczna luka w wtyczce WordPress umożliwia zdalne wykonanie kodu przez nieautoryzowany upload plików. Sprawdź zalecenia bezpieczeństwa.
- CVSS
- 9.3 CRITICAL
- EPSS
- 47.1%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka WordPress Baggage Freight Shipping Australia 0.1.0 zawiera lukę umożliwiającą nieautoryzowanym atakującym przesyłanie dowolnych plików poprzez endpoint upload-package.php. Brak walidacji przesyłanych plików pozwala na zdalne wykonanie kodu.
Wpływ biznesowy
Luka ta stanowi poważne zagrożenie dla bezpieczeństwa stron opartych na WordPress z zainstalowaną podatną wtyczką, umożliwiając atakującym przejęcie kontroli nad serwerem. Może to prowadzić do utraty danych, deface'u strony lub wykorzystania zasobów serwera do dalszych ataków.
Rekomendowane działania administratora
Administratorzy powinni niezwłocznie sprawdzić, czy używają podatnej wersji wtyczki i rozważyć jej usunięcie lub aktualizację do bezpiecznej wersji, jeśli jest dostępna. Zaleca się ograniczenie dostępu do endpointu upload-package.php, monitorowanie logów pod kątem podejrzanej aktywności oraz stosowanie zasad minimalnych uprawnień dla przesyłanych plików.