CVE-2024-12252
CriticalSummary
Wtyczka SEO LAT Auto Post dla WordPressa jest podatna na nadpisywanie plików z powodu braku sprawdzenia uprawnień w akcji AJAX remote_update we wszystkich wersjach do 2.2.1 włącznie. To umożliwia nieautoryzowanym atakującym nadpisanie pliku seo-beginner-auto-post.php, co może prowadzić do zdalnego wykonania kodu.
Risk Assessment
Organizacja może być narażona na zdalne wykonanie kodu przez nieautoryzowanych użytkowników, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.
Recommendation
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak ograniczenie dostępu do panelu administracyjnego.
Original NVD description (English source)
The SEO LAT Auto Post plugin for WordPress is vulnerable to file overwrite due to a missing capability check on the remote_update AJAX action in all versions up to, and including, 2.2.1. This makes it possible for unauthenticated attackers to overwrite the seo-beginner-auto-post.php file which can be leveraged to achieve remote code execution.

