CVE-2024-10586
CriticalSummary
Wtyczka Debug Tool dla WordPressa jest podatna na tworzenie dowolnych plików z powodu braku sprawdzenia uprawnień w funkcji dbt_pull_image() oraz braku walidacji typu pliku we wszystkich wersjach do 2.2 włącznie. Umożliwia to nieautoryzowanym atakującym tworzenie dowolnych plików, takich jak pliki .php, które mogą być wykorzystane do zdalnego wykonania kodu.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym zdalne wykonanie kodu na serwerze, co może prowadzić do przejęcia kontroli nad systemem.
Recommendation
Zaleca się natychmiastowe zaktualizowanie wtyczki Debug Tool do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak ograniczenie dostępu do funkcji administracyjnych.
Original NVD description (English source)
The Debug Tool plugin for WordPress is vulnerable to arbitrary file creation due to a missing capability check on the dbt_pull_image() function and missing file type validation in all versions up to, and including, 2.2. This makes it possible for unauthenticated attackers to to create arbitrary files such as .php files that can be leveraged for remote code execution. CVE-2024-52416 may be a duplicate of this issue.

