CVE-2023-54350
WysokieCVSS 7.5Streszczenie
Wtyczka Augmented-Reality dla WordPressa zawiera podatność na zdalne wykonanie kodu w elFinder connector, która pozwala nieautoryzowanym atakującym na przesyłanie i wykonywanie dowolnych plików PHP. Atakujący mogą wysyłać żądania POST do punktu końcowego connector.minimal.php z poleceniami mkfile i put, aby tworzyć złośliwe pliki PHP w katalogu file_manager i je wykonywać na serwerze.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne uruchamianie kodu na serwerze, co może prowadzić do przejęcia kontroli nad systemem. W konsekwencji może to skutkować utratą danych, usunięciem plików lub innymi szkodliwymi działaniami.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie wtyczki Augmented-Reality do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto ograniczyć dostęp do punktu końcowego connector.minimal.php oraz monitorować logi serwera w celu wykrycia potencjalnych prób ataku.
Oryginalny opis (angielski, źródło NVD)
WordPress Augmented-Reality plugin contains a remote code execution vulnerability in the elFinder connector that allows unauthenticated attackers to upload and execute arbitrary PHP files. Attackers can send POST requests to the connector.minimal.php endpoint with mkfile and put commands to create malicious PHP files in the file_manager directory and execute them on the server.

