CVE-2024-12583
KrytyczneStreszczenie
Wtyczka Dynamics 365 Integration dla WordPressa jest podatna na zdalne wykonanie kodu oraz nieautoryzowany odczyt plików we wszystkich wersjach do i włącznie z 1.3.23 z powodu wstrzyknięcia szablonów po stronie serwera Twig. Problem wynika z braku walidacji i sanitizacji danych wejściowych w funkcji renderującej.
Ocena ryzyka
Atakujący z poziomem dostępu Contributor i wyżej mogą wykonać kod na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji oraz wdrożenie odpowiednich mechanizmów walidacji i sanitizacji danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
The Dynamics 365 Integration plugin for WordPress is vulnerable to Remote Code Execution and Arbitrary File Read in all versions up to, and including, 1.3.23 via Twig Server-Side Template Injection. This is due to missing input validation and sanitization on the render function. This makes it possible for authenticated attackers, with Contributor-level access and above, to execute code on the server.

