CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-10124

Critical
Published: Translated: NVD NIST

Summary

Wtyczka Vayu Blocks – Gutenberg Blocks dla WordPress i WooCommerce jest podatna na nieautoryzowaną instalację i aktywację dowolnych wtyczek z powodu braku sprawdzenia uprawnień w funkcji tp_install() we wszystkich wersjach do i włącznie z 1.1.1. Umożliwia to nieautoryzowanym atakującym instalację i aktywację dowolnych wtyczek, co może prowadzić do zdalnego wykonania kodu, jeśli inna podatna wtyczka jest zainstalowana i aktywowana.

Risk Assessment

Organizacje mogą być narażone na poważne zagrożenia związane z bezpieczeństwem, w tym zdalne wykonanie kodu, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem. Atakujący mogą wykorzystać tę podatność do instalacji złośliwego oprogramowania.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji, aby załatać tę podatność. Dodatkowo, warto przeprowadzić audyt zainstalowanych wtyczek w celu identyfikacji i usunięcia potencjalnie niebezpiecznych komponentów.

Original NVD description (English source)

The Vayu Blocks – Gutenberg Blocks for WordPress & WooCommerce plugin for WordPress is vulnerable to unauthorized arbitrary plugin installation and activation due to a missing capability check on the tp_install() function in all versions up to, and including, 1.1.1. This makes it possible for unauthenticated attackers to install and activate arbitrary plugins which can be leveraged to achieve remote code execution if another vulnerable plugin is installed and activated. This vulnerability was partially patched in version 1.1.1.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS