Критична вразливість PHP Object Injection у плагіні Everest Forms для WordPress
Критична вразливість PHP Object Injection у плагіні Everest Forms для WordPress до версії 3.4.3. Рекомендується оновлення та обмеження доступу.
- CVSS
- 9.8 CRITICAL
- EPSS
- 54.64%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
Плагін Everest Forms для WordPress до версії 3.4.3 включно містить критичну вразливість PHP Object Injection через десеріалізацію недовірених даних з метаданих форм. Це дозволяє неавторизованим зловмисникам впроваджувати шкідливі об'єкти PHP через будь-яке публічне поле форми.
Бізнес-вплив
Вразливість може призвести до виконання довільного коду на сервері при перегляді записів адміністратором, що ставить під загрозу безпеку вебсайту та даних. Це критично для власників інфраструктури, які використовують Everest Forms, оскільки атака не потребує автентифікації і може призвести до повного контролю над сайтом.
Рекомендовані дії адміністратора
Рекомендується негайно перевірити наявність оновлень плагіна Everest Forms від розробника та встановити їх. Якщо оновлення недоступні, слід обмежити доступ до форм, провести аудит логів на предмет підозрілої активності та мінімізувати експозицію сайту. Важливо також інформувати адміністративний персонал про потенційні ризики при перегляді записів форм.