CVE-2024-11613
CriticalSummary
Wtyczka WordPress File Upload jest podatna na zdalne wykonanie kodu, nieautoryzowane odczytywanie plików oraz usuwanie plików we wszystkich wersjach do i włącznie z 4.24.15. Problem wynika z braku odpowiedniej sanitizacji parametru 'source' oraz możliwości zdefiniowania ścieżki katalogu przez użytkownika.
Risk Assessment
Atakujący bez uwierzytelnienia mogą wykorzystać tę podatność do wykonania kodu na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.
Recommendation
Zaleca się aktualizację wtyczki do najnowszej wersji oraz przeprowadzenie audytu bezpieczeństwa, aby zminimalizować ryzyko związane z tą podatnością.
Original NVD description (English source)
The WordPress File Upload plugin for WordPress is vulnerable to Remote Code Execution, Arbitrary File Read, and Arbitrary File Deletion in all versions up to, and including, 4.24.15 via the 'wfu_file_downloader.php' file. This is due to lack of proper sanitization of the 'source' parameter and allowing a user-defined directory path. This makes it possible for unauthenticated attackers to execute code on the server.

