Вразливість SSTI в Contact Form by Supsystic для WordPress дозволяє віддалене виконання коду
Вразливість SSTI в Contact Form by Supsystic дозволяє віддалене виконання коду на сервері. Рекомендується оновити плагін та перевірити безпеку.
- CVSS
- 9.8 CRITICAL
- EPSS
- 98.5%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
Плагін Contact Form by Supsystic для WordPress має критичну вразливість Server-Side Template Injection (SSTI), що дозволяє неавторизованим користувачам виконувати довільний код на сервері. Уразливість присутня у всіх версіях до 1.7.36 включно через використання Twig без sandboxing та можливість ін’єкції Twig-виразів через GET-параметри.
Бізнес-вплив
Ця вразливість може призвести до повного контролю над сервером, на якому розміщено сайт, що створює серйозні ризики для безпеки даних та стабільності бізнес-сервісів. ІТ-оператори повинні розглядати цю проблему як критичну, оскільки експлуатація дозволяє запускати довільні PHP-функції та команди ОС без автентифікації.
Рекомендовані дії адміністратора
Рекомендується негайно перевірити наявність оновлень плагіна від розробника та застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до параметрів GET, що використовуються для заповнення форм, провести аудит логів на наявність підозрілої активності та розглянути тимчасове відключення плагіна для зниження ризику експлуатації.