CVE-2024-11613
KrytyczneStreszczenie
Wtyczka WordPress File Upload jest podatna na zdalne wykonanie kodu, nieautoryzowane odczytywanie plików oraz usuwanie plików we wszystkich wersjach do i włącznie z 4.24.15. Problem wynika z braku odpowiedniej sanitizacji parametru 'source' oraz możliwości zdefiniowania ścieżki katalogu przez użytkownika.
Ocena ryzyka
Atakujący bez uwierzytelnienia mogą wykorzystać tę podatność do wykonania kodu na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji oraz przeprowadzenie audytu bezpieczeństwa, aby zminimalizować ryzyko związane z tą podatnością.
Oryginalny opis (angielski, źródło NVD)
The WordPress File Upload plugin for WordPress is vulnerable to Remote Code Execution, Arbitrary File Read, and Arbitrary File Deletion in all versions up to, and including, 4.24.15 via the 'wfu_file_downloader.php' file. This is due to lack of proper sanitization of the 'source' parameter and allowing a user-defined directory path. This makes it possible for unauthenticated attackers to execute code on the server.

