Katalog CVE

CVE-2017-20251

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Insert PHP dla WordPressa w wersjach przed 3.3.1 zawiera podatność na wstrzykiwanie kodu PHP, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnego kodu PHP poprzez wstrzykiwanie złośliwych shortcode'ów przez REST API WordPressa.

Ocena ryzyka

Atakujący mogą wysyłać żądania POST do punktu końcowego wp-json/wp/v2/posts z odpowiednio przygotowaną treścią, co może prowadzić do zdalnego wykonania kodu na serwerze, zagrażając bezpieczeństwu całej aplikacji.

Rekomendacja

Zaleca się aktualizację wtyczki Insert PHP do wersji 3.3.1 lub nowszej, aby usunąć tę podatność oraz monitorowanie logów serwera w celu wykrycia potencjalnych prób ataków.

Oryginalny opis (angielski, źródło NVD)

WordPress Insert PHP plugin versions before 3.3.1 contain a PHP code injection vulnerability that allows unauthenticated attackers to execute arbitrary PHP code by injecting malicious shortcodes through the WordPress REST API. Attackers can send POST requests to the wp-json/wp/v2/posts endpoint with crafted content containing insert_php shortcodes to include and execute remote PHP files on the server.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS