Krytyczna luka wtyczki Printcart Web to Print Product Designer dla WooCommerce umożliwiająca usuwanie plików
Krytyczna luka wtyczki WooCommerce Printcart Designer umożliwia nieautoryzowane usuwanie plików i potencjalne wykonanie zdalnego kodu. Sprawdź zalecenia bezpieczeństwa.
- CVSS
- 9.1 CRITICAL
- EPSS
- -
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka Printcart Web to Print Product Designer dla WooCommerce w wersjach do 2.5.2 ma krytyczną lukę umożliwiającą nieautoryzowane usuwanie plików na serwerze poprzez niewystarczającą walidację ścieżek w funkcji store_design_data(). Luka pozwala atakującym na usunięcie dowolnych plików, co może prowadzić do wykonania zdalnego kodu.
Wpływ biznesowy
Atakujący mogą wykorzystać tę lukę do usunięcia ważnych plików na serwerze, co może skutkować przerwami w działaniu serwisu, utratą danych lub eskalacją ataku do zdalnego wykonania kodu. Właściciele stron korzystających z tej wtyczki powinni traktować tę lukę jako krytyczną i priorytetowo podjąć działania zabezpieczające.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji wtyczki u dostawcy oraz ich wdrożenie. W międzyczasie ogranicz dostęp do punktów końcowych AJAX oraz monitoruj logi serwera pod kątem podejrzanych działań. Warto również rozważyć ograniczenie uprawnień plików i katalogów, aby zmniejszyć ryzyko nadużyć.