CVE-2024-7568
KrytyczneStreszczenie
Wtyczka Favicon Generator dla WordPressa jest podatna na atak typu Cross-Site Request Forgery w wersjach do 1.5 włącznie. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji output_sub_admin_page_0, co umożliwia nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze poprzez sfałszowane żądanie.
Ocena ryzyka
Atakujący mogą wykorzystać tę podatność do usunięcia ważnych plików z serwera, co może prowadzić do poważnych zakłóceń w działaniu strony oraz utraty danych. Organizacje powinny być świadome ryzyka związanego z używaniem tej wtyczki.
Rekomendacja
Zaleca się poszukiwanie alternatyw dla tej wtyczki, ponieważ autor usunął jej funkcjonalność w celu załatania problemu. Należy również monitorować systemy pod kątem potencjalnych prób wykorzystania tej podatności.
Oryginalny opis (angielski, źródło NVD)
The Favicon Generator plugin for WordPress is vulnerable to Cross-Site Request Forgery in versions up to, and including, 1.5. This is due to missing or incorrect nonce validation on the output_sub_admin_page_0 function. This makes it possible for unauthenticated attackers to delete arbitrary files on the server via a forged request granted they can trick a site administrator into performing an action such as clicking on a link. The plugin author deleted the functionality of the plugin to patch this issue and close the plugin, we recommend seeking an alternative to this plugin. CVE-2024-7864 appears to be a duplicate of this issue.

