CVE-2024-10124
CriticalSummary
Wtyczka Vayu Blocks – Gutenberg Blocks dla WordPress i WooCommerce jest podatna na nieautoryzowaną instalację i aktywację dowolnych wtyczek z powodu braku sprawdzenia uprawnień w funkcji tp_install() we wszystkich wersjach do i włącznie z 1.1.1. Umożliwia to nieautoryzowanym atakującym instalację i aktywację dowolnych wtyczek, co może prowadzić do zdalnego wykonania kodu, jeśli inna podatna wtyczka jest zainstalowana i aktywowana.
Risk Assessment
Organizacje mogą być narażone na poważne zagrożenia związane z bezpieczeństwem, w tym zdalne wykonanie kodu, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem. Atakujący mogą wykorzystać tę podatność do instalacji złośliwego oprogramowania.
Recommendation
Zaleca się aktualizację wtyczki do najnowszej wersji, aby załatać tę podatność. Dodatkowo, warto przeprowadzić audyt zainstalowanych wtyczek w celu identyfikacji i usunięcia potencjalnie niebezpiecznych komponentów.
Original NVD description (English source)
The Vayu Blocks – Gutenberg Blocks for WordPress & WooCommerce plugin for WordPress is vulnerable to unauthorized arbitrary plugin installation and activation due to a missing capability check on the tp_install() function in all versions up to, and including, 1.1.1. This makes it possible for unauthenticated attackers to install and activate arbitrary plugins which can be leveraged to achieve remote code execution if another vulnerable plugin is installed and activated. This vulnerability was partially patched in version 1.1.1.

