Katalog CVE

CVE-2024-6500

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczki InPost dla WooCommerce oraz InPost PL dla WordPress są podatne na nieautoryzowany dostęp i usuwanie danych z powodu braku sprawdzenia uprawnień w funkcji 'parse_request' we wszystkich wersjach do 1.4.0 (dla InPost dla WooCommerce) oraz 1.4.4 (dla InPost PL). Umożliwia to nieautoryzowanym atakującym odczyt i usuwanie dowolnych plików na serwerach Windows.

Ocena ryzyka

Atakujący mogą uzyskać dostęp do wrażliwych danych oraz usunąć pliki, co może prowadzić do poważnych konsekwencji dla bezpieczeństwa organizacji. Na serwerach Linux usuwane są jedynie pliki w obrębie instalacji WordPress, ale wszystkie pliki mogą być odczytywane.

Rekomendacja

Zaleca się aktualizację wtyczek do najnowszych wersji, które zawierają poprawki bezpieczeństwa. Dodatkowo, warto wprowadzić dodatkowe mechanizmy zabezpieczeń, aby ograniczyć dostęp do funkcji wtyczek.

Oryginalny opis (angielski, źródło NVD)

The InPost for WooCommerce plugin and InPost PL plugin for WordPress are vulnerable to unauthorized access and deletion of data due to a missing capability check on the 'parse_request' function in all versions up to, and including, 1.4.0 (for InPost for WooCommerce) as well as 1.4.4 (for InPost PL). This makes it possible for unauthenticated attackers to read and delete arbitrary files on Windows servers. On Linux servers, only files within the WordPress install will be deleted, but all files can be read.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS