Krytyczna luka wtyczki WP-BusinessDirectory umożliwiająca nieautoryzowane usuwanie plików
Krytyczna luka w WP-BusinessDirectory umożliwia nieautoryzowane usuwanie plików na serwerze. Zalecana szybka aktualizacja i zabezpieczenia.
- CVSS
- 9.1 CRITICAL
- EPSS
- 32.78%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka WP-BusinessDirectory dla WordPressa do wersji 4.0.1 zawiera poważną lukę umożliwiającą nieautoryzowane usuwanie dowolnych plików na serwerze. Luka wynika z niewystarczającej walidacji ścieżek w metodzie remove(), co pozwala atakującemu na usunięcie krytycznych plików, takich jak wp-config.php.
Wpływ biznesowy
Atakujący bez uwierzytelnienia mogą wykorzystać tę lukę do usunięcia ważnych plików konfiguracyjnych i innych zasobów serwera, co może prowadzić do przerw w działaniu serwisu, utraty danych oraz poważnych problemów z bezpieczeństwem infrastruktury. Operatorzy IT powinni traktować tę lukę jako krytyczną i priorytetowo podjąć działania naprawcze.
Rekomendowane działania administratora
Zaleca się jak najszybsze zaktualizowanie wtyczki WP-BusinessDirectory do wersji po 4.0.1, jeśli dostępna. W przypadku braku aktualizacji należy ograniczyć dostęp do endpointu upload.remove, przejrzeć logi pod kątem podejrzanych działań oraz wprowadzić dodatkowe zabezpieczenia ograniczające możliwość manipulacji ścieżkami plików. Regularne monitorowanie i audyt bezpieczeństwa są kluczowe.