Katalog CVE

CVE-2024-11613

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka WordPress File Upload jest podatna na zdalne wykonanie kodu, nieautoryzowane odczytywanie plików oraz usuwanie plików we wszystkich wersjach do i włącznie z 4.24.15. Problem wynika z braku odpowiedniej sanitizacji parametru 'source' oraz możliwości zdefiniowania ścieżki katalogu przez użytkownika.

Ocena ryzyka

Atakujący bez uwierzytelnienia mogą wykorzystać tę podatność do wykonania kodu na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji oraz przeprowadzenie audytu bezpieczeństwa, aby zminimalizować ryzyko związane z tą podatnością.

Oryginalny opis (angielski, źródło NVD)

The WordPress File Upload plugin for WordPress is vulnerable to Remote Code Execution, Arbitrary File Read, and Arbitrary File Deletion in all versions up to, and including, 4.24.15 via the 'wfu_file_downloader.php' file. This is due to lack of proper sanitization of the 'source' parameter and allowing a user-defined directory path. This makes it possible for unauthenticated attackers to execute code on the server.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS