CVE-2024-7954
CriticalSummary
Wtyczka porte_plume używana przez SPIP przed wersjami 4.30-alpha2, 4.2.13 i 4.1.16 jest podatna na wykonanie dowolnego kodu. Zdalny, nieautoryzowany atakujący może wykonać dowolny kod PHP jako użytkownik SPIP, wysyłając odpowiednio skonstruowane żądanie HTTP.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującemu zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad systemem. Może to skutkować utratą danych lub naruszeniem integralności systemu.
Recommendation
Zaleca się aktualizację wtyczki porte_plume do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto monitorować i ograniczać dostęp do systemu, aby zminimalizować ryzyko ataków.
Original NVD description (English source)
The porte_plume plugin used by SPIP before 4.30-alpha2, 4.2.13, and 4.1.16 is vulnerable to an arbitrary code execution vulnerability. A remote and unauthenticated attacker can execute arbitrary PHP as the SPIP user by sending a crafted HTTP request.

