Katalog CVE

CVE-2024-9307

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka mFolio Lite dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku weryfikacji uprawnień we wszystkich wersjach do 1.2.1 włącznie. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie autora i wyżej wstrzykiwanie dowolnych skryptów webowych oraz przesyłanie plików EXE na serwer.

Ocena ryzyka

Podatność ta może prowadzić do zdalnego wykonania kodu, jeśli atakujący uzyska dostęp do uruchomienia przesłanego pliku .exe lub nakłoni odwiedzającego stronę do jego pobrania i uruchomienia. To stwarza poważne zagrożenie dla bezpieczeństwa danych i systemów organizacji.

Rekomendacja

Zaleca się aktualizację wtyczki mFolio Lite do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe kontrole bezpieczeństwa dotyczące przesyłania plików na serwer.

Oryginalny opis (angielski, źródło NVD)

The mFolio Lite plugin for WordPress is vulnerable to file uploads due to a missing capability check in all versions up to, and including, 1.2.1. This makes it possible for authenticated attackers, with Author-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses the SVG file or upload arbitrary EXE files on the affected site's server which may make remote code execution possible if the attacker can also gain access to run the .exe file, or trick a site visitor into downloading and running the .exe file.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS