Критична вразливість завантаження файлів у плагіні Ninja Forms для WordPress
Вразливість у плагіні Ninja Forms дозволяє завантажувати довільні файли, що може призвести до віддаленого виконання коду. Оновіть плагін до 3.3.27.
- CVSS
- 9.8 CRITICAL
- EPSS
- 98.89%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
Плагін Ninja Forms - File Uploads для WordPress має критичну вразливість, що дозволяє неавторизованим користувачам завантажувати довільні файли через відсутність перевірки типу файлу у функції handle_upload. Це може призвести до віддаленого виконання коду на сервері сайту. Вразливість частково виправлена у версії 3.3.25 і повністю у 3.3.27.
Бізнес-вплив
Вразливість створює серйозну загрозу безпеці вебсайтів на базі WordPress із встановленим плагіном Ninja Forms - File Uploads версій до 3.3.26 включно. Зловмисники можуть завантажувати шкідливі файли, що потенційно дозволяє виконувати довільний код на сервері, що ставить під ризик цілісність і доступність ресурсів компанії.
Рекомендовані дії адміністратора
Адміністраторам слід негайно перевірити версію плагіна Ninja Forms - File Uploads і оновити його до версії 3.3.27 або новішої. Якщо оновлення неможливе, рекомендується обмежити можливість завантаження файлів, провести аудит логів на предмет підозрілої активності та посилити моніторинг безпеки вебсервера.