CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-8512

Critical
Published: Translated: NVD NIST

Summary

Wtyczka W3SPEEDSTER dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do 7.26 włącznie, poprzez parametr 'script' funkcji hookBeforeStartOptimization(). Problem wynika z przekazywania danych dostarczonych przez użytkownika do funkcji eval().

Risk Assessment

Atakujący z dostępem na poziomie Administratora mogą wykonać dowolny kod na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.

Recommendation

Zaleca się natychmiastowe zaktualizowanie wtyczki W3SPEEDSTER do najnowszej wersji, aby usunąć tę podatność oraz ograniczenie dostępu do kont administratorów.

Original NVD description (English source)

The W3SPEEDSTER plugin for WordPress is vulnerable to Remote Code Execution in all versions up to, and including, 7.26 via the 'script' parameter of the hookBeforeStartOptimization() function. This is due to the plugin passing user supplied input to eval(). This makes it possible for authenticated attackers, with Administrator-level access and above, to execute code on the server.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS