Katalog CVE

CVE-2024-12252

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka SEO LAT Auto Post dla WordPressa jest podatna na nadpisywanie plików z powodu braku sprawdzenia uprawnień w akcji AJAX remote_update we wszystkich wersjach do 2.2.1 włącznie. To umożliwia nieautoryzowanym atakującym nadpisanie pliku seo-beginner-auto-post.php, co może prowadzić do zdalnego wykonania kodu.

Ocena ryzyka

Organizacja może być narażona na zdalne wykonanie kodu przez nieautoryzowanych użytkowników, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak ograniczenie dostępu do panelu administracyjnego.

Oryginalny opis (angielski, źródło NVD)

The SEO LAT Auto Post plugin for WordPress is vulnerable to file overwrite due to a missing capability check on the remote_update AJAX action in all versions up to, and including, 2.2.1. This makes it possible for unauthenticated attackers to overwrite the seo-beginner-auto-post.php file which can be leveraged to achieve remote code execution.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS