Krytyczna luka LFI w wtyczce BetterDocs Pro dla WordPress (do wersji 3.8.0)
Krytyczna luka Local File Inclusion w BetterDocs Pro do wersji 3.8.0 umożliwia wykonanie złośliwego kodu PHP. Sprawdź zalecenia bezpieczeństwa.
- CVSS
- 9.8 CRITICAL
- EPSS
- 54.86%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka BetterDocs Pro dla WordPress do wersji 3.8.0 posiada krytyczną lukę Local File Inclusion (LFI) poprzez parametr `doc_style`. Pozwala to nieautoryzowanym atakującym na dołączanie i wykonywanie dowolnych plików PHP na serwerze.
Wpływ biznesowy
Luka umożliwia atakującym obejście mechanizmów kontroli dostępu, kradzież poufnych danych oraz wykonanie złośliwego kodu PHP na serwerze. Może to prowadzić do poważnych naruszeń bezpieczeństwa i utraty integralności systemu, szczególnie jeśli serwer pozwala na przesyłanie plików PHP.
Rekomendowane działania administratora
Zaleca się jak najszybsze sprawdzenie dostępności aktualizacji wtyczki BetterDocs Pro i ich wdrożenie. W przypadku braku łatki należy ograniczyć ekspozycję serwisu, monitorować logi pod kątem podejrzanych aktywności oraz przeprowadzić audyt uprawnień i przesyłanych plików. Priorytetowo traktuj zabezpieczenie serwera przed wykonywaniem nieautoryzowanych plików PHP.