Katalog CVE

CVE-2024-10586

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Debug Tool dla WordPressa jest podatna na tworzenie dowolnych plików z powodu braku sprawdzenia uprawnień w funkcji dbt_pull_image() oraz braku walidacji typu pliku we wszystkich wersjach do 2.2 włącznie. Umożliwia to nieautoryzowanym atakującym tworzenie dowolnych plików, takich jak pliki .php, które mogą być wykorzystane do zdalnego wykonania kodu.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym zdalne wykonanie kodu na serwerze, co może prowadzić do przejęcia kontroli nad systemem.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie wtyczki Debug Tool do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak ograniczenie dostępu do funkcji administracyjnych.

Oryginalny opis (angielski, źródło NVD)

The Debug Tool plugin for WordPress is vulnerable to arbitrary file creation due to a missing capability check on the dbt_pull_image() function and missing file type validation in all versions up to, and including, 2.2. This makes it possible for unauthenticated attackers to to create arbitrary files such as .php files that can be leveraged for remote code execution. CVE-2024-52416 may be a duplicate of this issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS