Критична вразливість RCE у плагіні Quick Playground для WordPress
Критична вразливість віддаленого виконання коду у плагіні Quick Playground для WordPress до версії 1.3.1. Рекомендується оновлення та обмеження доступу.
- CVSS
- 9.8 CRITICAL
- EPSS
- 86.13%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
Плагін Quick Playground для WordPress версій до 1.3.1 включно має критичну вразливість віддаленого виконання коду через недостатню перевірку авторизації на REST API. Зловмисники можуть отримати синхронізаційний код, завантажувати шкідливі PHP-файли з обходом шляхів і виконувати довільний код на сервері.
Бізнес-вплив
Вразливість дозволяє неавторизованим користувачам отримати контроль над сервером WordPress, що може призвести до компрометації даних, порушення роботи сайту та подальших атак на інфраструктуру. Власники сайтів і ІТ-оператори повинні розглядати цю загрозу як критичну та пріоритетно реагувати для запобігання потенційним збиткам.
Рекомендовані дії адміністратора
Рекомендується негайно перевірити наявність оновлень плагіна Quick Playground від розробника та встановити їх. Якщо оновлення недоступні, слід обмежити доступ до REST API, провести аудит логів на ознаки експлуатації, зменшити поверхню атаки та підвищити моніторинг безпеки. Важливо також перевірити права доступу та налаштування завантаження файлів.