CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2020-36849

Critical
Published: Translated: NVD NIST

Summary

Wtyczka AIT CSV import/export dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w pliku /wp-content/plugins/ait-csv-import-export/admin/upload-handler.php w wersjach do 3.0.3 włącznie. To umożliwia atakującym przesyłanie dowolnych plików na serwerze, co może prowadzić do zdalnego wykonania kodu.

Risk Assessment

Organizacje mogą być narażone na ataki, które pozwalają na przesyłanie złośliwego oprogramowania na serwer, co może prowadzić do przejęcia kontroli nad systemem. W konsekwencji, może to skutkować utratą danych lub naruszeniem bezpieczeństwa.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć dodatkowe mechanizmy zabezpieczeń, takie jak ograniczenie typów plików, które mogą być przesyłane.

Original NVD description (English source)

The AIT CSV import/export plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the /wp-content/plugins/ait-csv-import-export/admin/upload-handler.php file in versions up to, and including, 3.0.3. This makes it possible for unauthorized attackers to upload arbitrary files on the affected sites server which may make remote code execution possible.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS