Krytyczna luka RCE w wtyczce Everest Forms Pro dla WordPress
Krytyczna luka RCE w wtyczce Everest Forms Pro do WordPress umożliwia zdalne wykonanie kodu PHP przez pola formularza. Zalecane szybkie aktualizacje i monitorowanie.
- CVSS
- 9.8 CRITICAL
- EPSS
- 98.49%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka Everest Forms Pro do WordPressa do wersji 1.9.12 włącznie zawiera krytyczną lukę umożliwiającą zdalne wykonanie kodu PHP poprzez wstrzyknięcie kodu w polach formularza. Luka wynika z nieprawidłowego przetwarzania danych w funkcji process_filter() dodatku Calculation Addon, która przekazuje nieodpowiednio oczyszczone dane do eval().
Wpływ biznesowy
Atakujący bez uwierzytelnienia mogą wstrzyknąć i wykonać dowolny kod PHP na serwerze, co może prowadzić do przejęcia kontroli nad serwerem, wycieku danych lub zakłócenia działania usług. Właściciele stron korzystających z tej wtyczki powinni traktować tę lukę jako krytyczną i priorytetowo podjąć działania naprawcze.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji wtyczki Everest Forms Pro i jej dodatków u dostawcy oraz ich szybkie zastosowanie. W przypadku braku łatki należy ograniczyć ekspozycję formularzy korzystających z funkcji "Complex Calculation", monitorować logi serwera pod kątem podejrzanej aktywności oraz rozważyć tymczasowe wyłączenie podatnych funkcji.