Krytyczna luka wtyczki Ninja Forms - File Uploads umożliwiająca przesyłanie dowolnych plików
Krytyczna luka wtyczki Ninja Forms - File Uploads dla WordPress umożliwia przesyłanie dowolnych plików i zdalne wykonanie kodu. Zalecana natychmiastowa aktualizacja.
- CVSS
- 9.8 CRITICAL
- EPSS
- 98.89%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka Ninja Forms - File Uploads dla WordPressa do wersji 3.3.26 zawiera lukę umożliwiającą nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer. Luka wynika z braku walidacji typu pliku w funkcji obsługującej upload, co może prowadzić do zdalnego wykonania kodu.
Wpływ biznesowy
Atakujący mogą wykorzystać tę lukę do przesłania złośliwych plików na serwer, co stwarza ryzyko przejęcia kontroli nad serwerem i potencjalnych poważnych naruszeń bezpieczeństwa. Właściciele stron korzystających z tej wtyczki powinni traktować tę lukę jako krytyczną i priorytetowo podejść do jej załatania lub ograniczenia ekspozycji.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie wtyczki Ninja Forms - File Uploads do wersji 3.3.27 lub nowszej, w której luka została całkowicie załatana. W przypadku braku możliwości aktualizacji należy ograniczyć dostęp do funkcji uploadu, monitorować logi serwera pod kątem podejrzanej aktywności oraz przeprowadzić przegląd bezpieczeństwa środowiska WordPress.