CVE-2021-4455
KrytyczneStreszczenie
Wtyczka Smart Product Review dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w wersjach do 1.0.4 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny, co może prowadzić do zdalnego wykonania kodu.
Ocena ryzyka
Brak walidacji typu pliku stwarza poważne ryzyko dla bezpieczeństwa serwera, umożliwiając atakującym zdalne wykonanie kodu. Może to prowadzić do przejęcia kontroli nad serwerem i wycieku danych.
Rekomendacja
Zaleca się aktualizację wtyczki Smart Product Review do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto wdrożyć dodatkowe mechanizmy zabezpieczeń, takie jak ograniczenie typów przesyłanych plików.
Oryginalny opis (angielski, źródło NVD)
The Wordpress Plugin Smart Product Review plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in all versions up to, and including, 1.0.4. This makes it possible for unauthenticated attackers to upload arbitrary files on the affected site's server which may make remote code execution possible.

