Lokalne Dołączenie Plików w wtyczce WP User Manager – User Profile Builder & Membership
Wtyczka WP User Manager do WordPressa ma lukę LFI umożliwiającą wykonanie kodu PHP. Zalecane szybkie aktualizacje i monitoring.
- CVSS
- 7.5 HIGH
- EPSS
- 82.02%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka WP User Manager – User Profile Builder & Membership dla WordPressa do wersji 2.9.17 jest podatna na lokalne dołączenie plików (LFI) poprzez funkcję szablonu profilu. Pozwala to nieautoryzowanym atakującym na dołączenie i wykonanie dowolnych plików PHP na serwerze.
Wpływ biznesowy
Podatność umożliwia atakującym obejście mechanizmów kontroli dostępu, kradzież wrażliwych danych lub wykonanie złośliwego kodu PHP, co może prowadzić do poważnych naruszeń bezpieczeństwa serwera i aplikacji. Organizacje korzystające z tej wtyczki powinny traktować tę lukę jako wysokiego ryzyka i priorytetowo podejść do jej zaadresowania.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji wtyczki u dostawcy oraz ich wdrożenie. W międzyczasie ograniczyć możliwość przesyłania i dołączania plików PHP, monitorować logi serwera pod kątem podejrzanej aktywności oraz ograniczyć dostęp do funkcji profilu użytkownika. Priorytetowo traktować audyt i zabezpieczenie środowiska WordPress.