CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-10801

Critical
Published: Translated: NVD NIST

Summary

Wtyczka WordPress User Extra Fields jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji ajax_manage_file_chunk_upload() we wszystkich wersjach do 16.5 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

Risk Assessment

Atakujący mogą wykorzystać tę podatność do przesyłania złośliwego kodu, co może prowadzić do zdalnego wykonania kodu na serwerze. Wymagana jest aktywacja rejestracji użytkowników, aby podatność mogła być wykorzystana.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto rozważyć ograniczenie możliwości rejestracji użytkowników, jeśli nie jest to konieczne.

Original NVD description (English source)

The WordPress User Extra Fields plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the ajax_manage_file_chunk_upload() function in all versions up to, and including, 16.5. This makes it possible for unauthenticated attackers to upload arbitrary files on the affected site's server which may make remote code execution possible. User registration must be enabled for this to be exploited.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS