Вразливість Local File Inclusion у плагіні WP User Manager для WordPress
Вразливість LFI у плагіні WP User Manager дозволяє виконувати довільний PHP-код. Рекомендується оновити плагін для захисту сайту.
- CVSS
- 7.5 HIGH
- EPSS
- 82.02%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
Плагін WP User Manager – User Profile Builder & Membership для WordPress має вразливість Local File Inclusion у версіях до 2.9.17 включно. Це дозволяє неавторизованим зловмисникам виконувати довільні PHP-файли на сервері через функцію профільного шаблону.
Бізнес-вплив
Вразливість може призвести до обходу механізмів контролю доступу, викрадення конфіденційних даних або виконання шкідливого коду на сервері. Це створює серйозні ризики для безпеки веб-сайтів, що використовують цей плагін, особливо якщо дозволено завантаження PHP-файлів.
Рекомендовані дії адміністратора
Рекомендується негайно перевірити наявність оновлень плагіна від розробника та застосувати їх. Якщо оновлення недоступні, слід обмежити можливість завантаження PHP-файлів, провести аудит логів на ознаки експлуатації та знизити експозицію вразливого функціоналу. Пріоритезуйте виправлення цієї вразливості через її високий рівень ризику.