Вразливість віддаленого виконання коду у плагіні Everest Forms Pro для WordPress
Критична вразливість віддаленого виконання коду у плагіні Everest Forms Pro для WordPress до версії 1.9.12. Рекомендується оновлення та перевірка безпеки.
- CVSS
- 9.8 CRITICAL
- EPSS
- 98.49%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
Плагін Everest Forms Pro для WordPress до версії 1.9.12 включно має критичну вразливість віддаленого виконання коду через ін’єкцію PHP-коду. Уразливість виникає через некоректну обробку користувацьких даних у функції process_filter() додатку Calculation Addon, що дозволяє виконувати довільний PHP-код на сервері.
Бізнес-вплив
Ця вразливість може дозволити неавторизованим зловмисникам виконувати довільний код на сервері, що може призвести до компрометації веб-сайту, викрадення даних або повного контролю над сервером. Власники інфраструктури та ІТ-оператори повинні розглядати цю загрозу як критичну та пріоритетно реагувати на неї, щоб уникнути серйозних наслідків для бізнесу.
Рекомендовані дії адміністратора
Рекомендується негайно перевірити наявність оновлень плагіна Everest Forms Pro від виробника та встановити їх. Якщо оновлення недоступні, слід обмежити використання функції "Complex Calculation" у формах, провести аудит логів на предмет підозрілої активності та мінімізувати зовнішній доступ до уразливих форм. Також варто розглянути тимчасове відключення плагіна до усунення вразливості.