Уразливість ін’єкції PHP у плагіні WordPress Insert PHP до версії 3.3.1
Критична уразливість в плагіні WordPress Insert PHP дозволяє виконувати довільний код через REST API. Рекомендується оновлення плагіна.
- CVSS
- 9.3 CRITICAL
- EPSS
- 42.41%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
Плагін WordPress Insert PHP версій до 3.3.1 містить критичну уразливість ін’єкції PHP-коду, що дозволяє неавторизованим зловмисникам виконувати довільний PHP-код через REST API WordPress. Зловмисники можуть надсилати спеціально сформовані POST-запити з шорткодами insert_php для запуску віддалених PHP-файлів на сервері.
Бізнес-вплив
Ця уразливість може призвести до повного компрометації веб-сервера, оскільки зловмисники отримують можливість виконувати довільний код. Власники інфраструктури ризикують витоком даних, порушенням цілісності системи та можливістю подальших атак. Важливо швидко виявити та усунути цю загрозу, щоб уникнути серйозних наслідків для бізнесу.
Рекомендовані дії адміністратора
Адміністраторам рекомендується негайно оновити плагін Insert PHP до версії 3.3.1 або новішої, якщо це можливо. Якщо оновлення недоступне, слід обмежити доступ до REST API, переглянути журнали на предмет підозрілої активності та впровадити додаткові заходи безпеки для зменшення ризику експлуатації. Регулярний моніторинг і аудит системи допоможуть вчасно виявити потенційні атаки.