CVE-2017-20251
KrytyczneCVSS 9.8Streszczenie
Wtyczka Insert PHP dla WordPressa w wersjach przed 3.3.1 zawiera podatność na wstrzykiwanie kodu PHP, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnego kodu PHP poprzez wstrzykiwanie złośliwych shortcode'ów przez REST API WordPressa.
Ocena ryzyka
Atakujący mogą wysyłać żądania POST do punktu końcowego wp-json/wp/v2/posts z odpowiednio przygotowaną treścią, co może prowadzić do zdalnego wykonania kodu na serwerze, zagrażając bezpieczeństwu całej aplikacji.
Rekomendacja
Zaleca się aktualizację wtyczki Insert PHP do wersji 3.3.1 lub nowszej, aby usunąć tę podatność oraz monitorowanie logów serwera w celu wykrycia potencjalnych prób ataków.
Oryginalny opis (angielski, źródło NVD)
WordPress Insert PHP plugin versions before 3.3.1 contain a PHP code injection vulnerability that allows unauthenticated attackers to execute arbitrary PHP code by injecting malicious shortcodes through the WordPress REST API. Attackers can send POST requests to the wp-json/wp/v2/posts endpoint with crafted content containing insert_php shortcodes to include and execute remote PHP files on the server.

