Krytyczna luka SSTI w wtyczce Contact Form by Supsystic dla WordPress
Wtyczka Contact Form by Supsystic dla WordPress ma krytyczną lukę SSTI umożliwiającą zdalne wykonanie kodu. Sprawdź zalecenia bezpieczeństwa.
- CVSS
- 9.8 CRITICAL
- EPSS
- 98.5%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka Contact Form by Supsystic do WordPressa jest podatna na Server-Side Template Injection (SSTI), co umożliwia zdalne wykonanie kodu (RCE) w wersjach do 1.7.36 włącznie. Luka wynika z użycia silnika szablonów Twig bez sandboxingu oraz funkcji cfsPreFill, pozwalającej nieautoryzowanym użytkownikom na wstrzykiwanie wyrażeń Twig przez parametry GET.
Wpływ biznesowy
Atakujący bez uwierzytelnienia mogą wykonać dowolne polecenia PHP i systemowe na serwerze, co stwarza poważne zagrożenie dla integralności i dostępności infrastruktury IT. Wykorzystanie tej luki może prowadzić do przejęcia kontroli nad serwerem, wycieku danych lub dalszej eskalacji ataku w środowisku WordPress.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji wtyczki Contact Form by Supsystic i ich wdrożenie. W przypadku braku łatki należy ograniczyć dostęp do parametrów GET wykorzystywanych przez funkcję cfsPreFill, monitorować logi serwera pod kątem podejrzanej aktywności oraz rozważyć tymczasowe wyłączenie wtyczki. Priorytetowo traktuj ocenę ryzyka i wdrożenie środków zapobiegawczych.