CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-11613

Critical
Published: Translated: NVD NIST

Summary

Wtyczka WordPress File Upload jest podatna na zdalne wykonanie kodu, nieautoryzowane odczytywanie plików oraz usuwanie plików we wszystkich wersjach do i włącznie z 4.24.15. Problem wynika z braku odpowiedniej sanitizacji parametru 'source' oraz możliwości zdefiniowania ścieżki katalogu przez użytkownika.

Risk Assessment

Atakujący bez uwierzytelnienia mogą wykorzystać tę podatność do wykonania kodu na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji oraz przeprowadzenie audytu bezpieczeństwa, aby zminimalizować ryzyko związane z tą podatnością.

Original NVD description (English source)

The WordPress File Upload plugin for WordPress is vulnerable to Remote Code Execution, Arbitrary File Read, and Arbitrary File Deletion in all versions up to, and including, 4.24.15 via the 'wfu_file_downloader.php' file. This is due to lack of proper sanitization of the 'source' parameter and allowing a user-defined directory path. This makes it possible for unauthenticated attackers to execute code on the server.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS