Krytyczna luka w WordPress MStore API 2.0.6 umożliwiająca zdalne wykonanie kodu

Krytyczna luka w WordPress MStore API 2.0.6 pozwala na zdalne wykonanie kodu przez nieautoryzowany upload plików PHP. Sprawdź zalecenia bezpieczeństwa.
CVE-2021-47933CVSS 9.3Web

Krytyczna luka w WordPress MStore API 2.0.6 umożliwiająca zdalne wykonanie kodu

Krytyczna luka w WordPress MStore API 2.0.6 pozwala na zdalne wykonanie kodu przez nieautoryzowany upload plików PHP. Sprawdź zalecenia bezpieczeństwa.

CVSS
9.3 CRITICAL
EPSS
43.78%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wersja 2.0.6 wtyczki WordPress MStore API zawiera lukę pozwalającą nieautoryzowanym atakującym na przesyłanie złośliwych plików przez REST API. Atakujący mogą przesłać pliki PHP o dowolnej nazwie do punktu końcowego config_file, co umożliwia zdalne wykonanie kodu na serwerze.

Wpływ biznesowy

Luka o wysokiej krytyczności (CVSS 9.3) stwarza poważne zagrożenie dla bezpieczeństwa serwerów z WordPress, umożliwiając atakującym przejęcie kontroli nad systemem. Może to prowadzić do utraty danych, defacementu stron lub dalszej eskalacji ataku w infrastrukturze IT.

Rekomendowane działania administratora

Administratorzy powinni niezwłocznie zweryfikować dostępność aktualizacji wtyczki MStore API i zastosować je, jeśli są dostępne. W przypadku braku łatki zaleca się ograniczenie dostępu do REST API, monitorowanie logów pod kątem podejrzanych żądań oraz priorytetowe zabezpieczenie serwerów WordPress. Regularne przeglądy i audyty bezpieczeństwa są wskazane.

Źródła