CVE-2024-10124
KrytyczneStreszczenie
Wtyczka Vayu Blocks – Gutenberg Blocks dla WordPress i WooCommerce jest podatna na nieautoryzowaną instalację i aktywację dowolnych wtyczek z powodu braku sprawdzenia uprawnień w funkcji tp_install() we wszystkich wersjach do i włącznie z 1.1.1. Umożliwia to nieautoryzowanym atakującym instalację i aktywację dowolnych wtyczek, co może prowadzić do zdalnego wykonania kodu, jeśli inna podatna wtyczka jest zainstalowana i aktywowana.
Ocena ryzyka
Organizacje mogą być narażone na poważne zagrożenia związane z bezpieczeństwem, w tym zdalne wykonanie kodu, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem. Atakujący mogą wykorzystać tę podatność do instalacji złośliwego oprogramowania.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, aby załatać tę podatność. Dodatkowo, warto przeprowadzić audyt zainstalowanych wtyczek w celu identyfikacji i usunięcia potencjalnie niebezpiecznych komponentów.
Oryginalny opis (angielski, źródło NVD)
The Vayu Blocks – Gutenberg Blocks for WordPress & WooCommerce plugin for WordPress is vulnerable to unauthorized arbitrary plugin installation and activation due to a missing capability check on the tp_install() function in all versions up to, and including, 1.1.1. This makes it possible for unauthenticated attackers to install and activate arbitrary plugins which can be leveraged to achieve remote code execution if another vulnerable plugin is installed and activated. This vulnerability was partially patched in version 1.1.1.

