CVE-2024-8512
CriticalSummary
Wtyczka W3SPEEDSTER dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do 7.26 włącznie, poprzez parametr 'script' funkcji hookBeforeStartOptimization(). Problem wynika z przekazywania danych dostarczonych przez użytkownika do funkcji eval().
Risk Assessment
Atakujący z dostępem na poziomie Administratora mogą wykonać dowolny kod na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.
Recommendation
Zaleca się natychmiastowe zaktualizowanie wtyczki W3SPEEDSTER do najnowszej wersji, aby usunąć tę podatność oraz ograniczenie dostępu do kont administratorów.
Original NVD description (English source)
The W3SPEEDSTER plugin for WordPress is vulnerable to Remote Code Execution in all versions up to, and including, 7.26 via the 'script' parameter of the hookBeforeStartOptimization() function. This is due to the plugin passing user supplied input to eval(). This makes it possible for authenticated attackers, with Administrator-level access and above, to execute code on the server.

