Krytyczna luka w WordPress MStore API 2.0.6 umożliwiająca zdalne wykonanie kodu
Krytyczna luka w WordPress MStore API 2.0.6 pozwala na zdalne wykonanie kodu przez nieautoryzowany upload plików PHP. Sprawdź zalecenia bezpieczeństwa.
- CVSS
- 9.3 CRITICAL
- EPSS
- 43.78%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wersja 2.0.6 wtyczki WordPress MStore API zawiera lukę pozwalającą nieautoryzowanym atakującym na przesyłanie złośliwych plików przez REST API. Atakujący mogą przesłać pliki PHP o dowolnej nazwie do punktu końcowego config_file, co umożliwia zdalne wykonanie kodu na serwerze.
Wpływ biznesowy
Luka o wysokiej krytyczności (CVSS 9.3) stwarza poważne zagrożenie dla bezpieczeństwa serwerów z WordPress, umożliwiając atakującym przejęcie kontroli nad systemem. Może to prowadzić do utraty danych, defacementu stron lub dalszej eskalacji ataku w infrastrukturze IT.
Rekomendowane działania administratora
Administratorzy powinni niezwłocznie zweryfikować dostępność aktualizacji wtyczki MStore API i zastosować je, jeśli są dostępne. W przypadku braku łatki zaleca się ograniczenie dostępu do REST API, monitorowanie logów pod kątem podejrzanych żądań oraz priorytetowe zabezpieczenie serwerów WordPress. Regularne przeglądy i audyty bezpieczeństwa są wskazane.