Критична вразливість RCE у WordPress Background Image Cropper 1.2
Критична вразливість RCE у WordPress Background Image Cropper 1.2 дозволяє завантажувати шкідливі файли та виконувати код на сервері. Рекомендується оновлення та моніторинг.
- CVSS
- 9.3 CRITICAL
- EPSS
- 53.32%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
Плагін WordPress Background Image Cropper версії 1.2 має критичну вразливість віддаленого виконання коду, що дозволяє неавторизованим зловмисникам завантажувати довільні файли через endpoint ups.php. Це може призвести до виконання шкідливого коду на сервері.
Бізнес-вплив
Вразливість створює серйозну загрозу для веб-сайтів на базі WordPress, які використовують цей плагін, оскільки зловмисники можуть отримати контроль над сервером. Це може призвести до компрометації даних, порушення роботи сайту та втрати довіри користувачів. Власникам інфраструктури слід терміново оцінити ризики та вжити заходів для захисту.
Рекомендовані дії адміністратора
Рекомендується негайно перевірити наявність оновлень плагіна від розробника та застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до файлу ups.php, перевірити логи на ознаки зловмисної активності, а також розглянути тимчасове відключення плагіна. Загалом, слід мінімізувати експозицію вразливого компонента та посилити моніторинг безпеки.