Krytyczna luka wtyczki WordPress Download From Files umożliwiająca nieautoryzowany upload plików
Krytyczna luka w WordPress Download From Files pozwala na nieautoryzowany upload złośliwych plików. Zalecane szybkie aktualizacje i monitorowanie systemu.
- CVSS
- 9.3 CRITICAL
- EPSS
- 31.57%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka WordPress Download From Files w wersji 1.48 i starszych zawiera krytyczną lukę umożliwiającą nieautoryzowany upload dowolnych plików poprzez manipulację parametrem allowExt w żądaniach AJAX. Atakujący mogą przesłać złośliwe pliki wykonywalne, takie jak PHP shell, do katalogu web root, co stwarza poważne zagrożenie bezpieczeństwa.
Wpływ biznesowy
Luka ta może prowadzić do przejęcia kontroli nad serwerem WWW poprzez umieszczenie złośliwego kodu, co skutkuje potencjalnym wyciekiem danych, defacementem strony lub dalszymi atakami na infrastrukturę IT. Operatorzy powinni traktować tę lukę jako krytyczną i priorytetowo zabezpieczyć swoje środowiska, aby zapobiec nieautoryzowanemu dostępowi i eskalacji uprawnień.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie wtyczki do najnowszej wersji udostępnionej przez producenta. W przypadku braku dostępnej aktualizacji, należy ograniczyć dostęp do endpointu admin-ajax.php, monitorować logi pod kątem podejrzanych żądań z akcją download_from_files_617_fileupload oraz rozważyć tymczasowe wyłączenie wtyczki. Dodatkowo warto przeprowadzić audyt bezpieczeństwa i weryfikację integralności plików na serwerze.