Krytyczna luka RCE w WordPress Background Image Cropper 1.2
Krytyczna luka w WordPress Background Image Cropper 1.2 umożliwia zdalne wykonanie kodu przez nieautoryzowanych atakujących. Sprawdź zalecenia bezpieczeństwa.
- CVSS
- 9.3 CRITICAL
- EPSS
- 53.32%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka WordPress Background Image Cropper w wersji 1.2 zawiera krytyczną lukę umożliwiającą zdalne wykonanie kodu. Nieautoryzowani atakujący mogą przesłać dowolne pliki, w tym PHP, przez endpoint ups.php, co pozwala na wykonanie złośliwego kodu na serwerze.
Wpływ biznesowy
Luka ta stanowi poważne zagrożenie dla bezpieczeństwa serwerów hostingujących WordPress, umożliwiając atakującym przejęcie kontroli nad systemem poprzez zdalne wykonanie kodu. Może to prowadzić do wycieku danych, defacementu stron lub dalszej eskalacji ataku w infrastrukturze IT.
Rekomendowane działania administratora
Administratorzy powinni niezwłocznie zweryfikować obecność wtyczki Background Image Cropper w wersji 1.2 i przeanalizować możliwość aktualizacji do bezpiecznej wersji. W przypadku braku dostępnej poprawki zaleca się ograniczenie dostępu do endpointu ups.php, monitorowanie logów pod kątem podejrzanej aktywności oraz priorytetowe wdrożenie środków zapobiegawczych minimalizujących ryzyko wykorzystania luki.