CVE-2024-8512
KrytyczneStreszczenie
Wtyczka W3SPEEDSTER dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do 7.26 włącznie, poprzez parametr 'script' funkcji hookBeforeStartOptimization(). Problem wynika z przekazywania danych dostarczonych przez użytkownika do funkcji eval().
Ocena ryzyka
Atakujący z dostępem na poziomie Administratora mogą wykonać dowolny kod na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie wtyczki W3SPEEDSTER do najnowszej wersji, aby usunąć tę podatność oraz ograniczenie dostępu do kont administratorów.
Oryginalny opis (angielski, źródło NVD)
The W3SPEEDSTER plugin for WordPress is vulnerable to Remote Code Execution in all versions up to, and including, 7.26 via the 'script' parameter of the hookBeforeStartOptimization() function. This is due to the plugin passing user supplied input to eval(). This makes it possible for authenticated attackers, with Administrator-level access and above, to execute code on the server.

