Krytyczna luka RCE w WordPress Background Image Cropper 1.2

Krytyczna luka w WordPress Background Image Cropper 1.2 umożliwia zdalne wykonanie kodu przez nieautoryzowanych atakujących. Sprawdź zalecenia bezpieczeństwa.
CVE-2024-58348CVSS 9.3Web

Krytyczna luka RCE w WordPress Background Image Cropper 1.2

Krytyczna luka w WordPress Background Image Cropper 1.2 umożliwia zdalne wykonanie kodu przez nieautoryzowanych atakujących. Sprawdź zalecenia bezpieczeństwa.

CVSS
9.3 CRITICAL
EPSS
53.32%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka WordPress Background Image Cropper w wersji 1.2 zawiera krytyczną lukę umożliwiającą zdalne wykonanie kodu. Nieautoryzowani atakujący mogą przesłać dowolne pliki, w tym PHP, przez endpoint ups.php, co pozwala na wykonanie złośliwego kodu na serwerze.

Wpływ biznesowy

Luka ta stanowi poważne zagrożenie dla bezpieczeństwa serwerów hostingujących WordPress, umożliwiając atakującym przejęcie kontroli nad systemem poprzez zdalne wykonanie kodu. Może to prowadzić do wycieku danych, defacementu stron lub dalszej eskalacji ataku w infrastrukturze IT.

Rekomendowane działania administratora

Administratorzy powinni niezwłocznie zweryfikować obecność wtyczki Background Image Cropper w wersji 1.2 i przeanalizować możliwość aktualizacji do bezpiecznej wersji. W przypadku braku dostępnej poprawki zaleca się ograniczenie dostępu do endpointu ups.php, monitorowanie logów pod kątem podejrzanej aktywności oraz priorytetowe wdrożenie środków zapobiegawczych minimalizujących ryzyko wykorzystania luki.

Źródła