CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-12583

Critical
Published: Translated: NVD NIST

Summary

Wtyczka Dynamics 365 Integration dla WordPressa jest podatna na zdalne wykonanie kodu oraz nieautoryzowany odczyt plików we wszystkich wersjach do i włącznie z 1.3.23 z powodu wstrzyknięcia szablonów po stronie serwera Twig. Problem wynika z braku walidacji i sanitizacji danych wejściowych w funkcji renderującej.

Risk Assessment

Atakujący z poziomem dostępu Contributor i wyżej mogą wykonać kod na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji oraz wdrożenie odpowiednich mechanizmów walidacji i sanitizacji danych wejściowych.

Original NVD description (English source)

The Dynamics 365 Integration plugin for WordPress is vulnerable to Remote Code Execution and Arbitrary File Read in all versions up to, and including, 1.3.23 via Twig Server-Side Template Injection. This is due to missing input validation and sanitization on the render function. This makes it possible for authenticated attackers, with Contributor-level access and above, to execute code on the server.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS