Katalog CVE

CVE-2021-47933

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

WordPress MStore API w wersji 2.0.6 zawiera podatność na nieautoryzowane przesyłanie plików, która pozwala atakującym na przesyłanie złośliwych plików poprzez wysyłanie żądań POST do punktu końcowego REST API. Atakujący mogą przesyłać pliki PHP o dowolnych nazwach do punktu końcowego config_file, co prowadzi do zdalnego wykonania kodu na serwerze.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonanie kodu na serwerze, co może prowadzić do przejęcia kontroli nad systemem. Niezabezpieczone serwery mogą być narażone na różnorodne ataki i wycieki danych.

Rekomendacja

Zaleca się aktualizację WordPress MStore API do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające, takie jak ograniczenie przesyłania plików do zaufanych typów i monitorowanie aktywności na serwerze.

Oryginalny opis (angielski, źródło NVD)

WordPress MStore API 2.0.6 contains an arbitrary file upload vulnerability that allows unauthenticated attackers to upload malicious files by sending POST requests to the REST API endpoint. Attackers can upload PHP files with arbitrary names to the config_file endpoint to achieve remote code execution on the server.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS