Критична вразливість завантаження файлів у WordPress MStore API 2.0.6
Критична вразливість у WordPress MStore API 2.0.6 дозволяє завантажувати шкідливі PHP-файли та виконувати код на сервері. Рекомендується оновлення та обмеження доступу.
- CVSS
- 9.3 CRITICAL
- EPSS
- 43.78%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
У WordPress MStore API версії 2.0.6 виявлено критичну вразливість, що дозволяє неавторизованим зловмисникам завантажувати шкідливі файли через REST API. Зловмисники можуть завантажувати PHP-файли з довільними іменами на endpoint config_file, що може призвести до віддаленого виконання коду на сервері.
Бізнес-вплив
Ця вразливість створює серйозну загрозу для безпеки веб-сайтів на базі WordPress із встановленим MStore API 2.0.6, оскільки дозволяє зловмисникам отримати повний контроль над сервером. Це може призвести до компрометації даних, порушення роботи сервісів та репутаційних втрат для організацій, що використовують уразливі версії.
Рекомендовані дії адміністратора
Адміністраторам рекомендується негайно перевірити наявність оновлень від розробника MStore API та застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до REST API, провести аудит логів на предмет підозрілої активності та знизити ризики шляхом обмеження прав на завантаження файлів. Важливо також впровадити моніторинг та планувати пріоритетне усунення цієї вразливості.