Критична вразливість завантаження файлів у плагіні Piotnet Forms для WordPress
Критична вразливість у плагіні Piotnet Forms дозволяє завантажувати шкідливі файли та може призвести до віддаленого виконання коду на сервері WordPress.
- CVSS
- 9.8 CRITICAL
- EPSS
- 52.44%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
Плагін Piotnet Forms для WordPress має критичну вразливість, що дозволяє завантажувати довільні файли через недостатню перевірку типів файлів у функції piotnetforms_ajax_form_builder. Це може призвести до віддаленого виконання коду на сервері сайту, якщо у формі додано поле для файлів.
Бізнес-вплив
Вразливість створює високий ризик компрометації веб-сайту, оскільки зловмисники можуть завантажувати шкідливі файли з небезпечними розширеннями, що не блокуються плагіном. Це може призвести до віддаленого виконання коду, втрати контролю над сервером та порушення безпеки даних. Власникам інфраструктури слід терміново оцінити ризики та вжити заходів для захисту.
Рекомендовані дії адміністратора
Рекомендується негайно перевірити наявність оновлень плагіна Piotnet Forms від розробника та встановити їх. Якщо оновлень немає, слід обмежити можливість завантаження файлів через форми, видалити або тимчасово відключити плагін, а також переглянути журнали доступу на предмет підозрілої активності. Важливо також перевірити конфігурацію серверу та обмежити типи файлів, які можуть бути завантажені.