CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-6500

Critical
Published: Translated: NVD NIST

Summary

Wtyczki InPost dla WooCommerce oraz InPost PL dla WordPress są podatne na nieautoryzowany dostęp i usuwanie danych z powodu braku sprawdzenia uprawnień w funkcji 'parse_request' we wszystkich wersjach do 1.4.0 (dla InPost dla WooCommerce) oraz 1.4.4 (dla InPost PL). Umożliwia to nieautoryzowanym atakującym odczyt i usuwanie dowolnych plików na serwerach Windows.

Risk Assessment

Atakujący mogą uzyskać dostęp do wrażliwych danych oraz usunąć pliki, co może prowadzić do poważnych konsekwencji dla bezpieczeństwa organizacji. Na serwerach Linux usuwane są jedynie pliki w obrębie instalacji WordPress, ale wszystkie pliki mogą być odczytywane.

Recommendation

Zaleca się aktualizację wtyczek do najnowszych wersji, które zawierają poprawki bezpieczeństwa. Dodatkowo, warto wprowadzić dodatkowe mechanizmy zabezpieczeń, aby ograniczyć dostęp do funkcji wtyczek.

Original NVD description (English source)

The InPost for WooCommerce plugin and InPost PL plugin for WordPress are vulnerable to unauthorized access and deletion of data due to a missing capability check on the 'parse_request' function in all versions up to, and including, 1.4.0 (for InPost for WooCommerce) as well as 1.4.4 (for InPost PL). This makes it possible for unauthenticated attackers to read and delete arbitrary files on Windows servers. On Linux servers, only files within the WordPress install will be deleted, but all files can be read.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS