Katalog CVE

CVE-2020-36849

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka AIT CSV import/export dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w pliku /wp-content/plugins/ait-csv-import-export/admin/upload-handler.php w wersjach do 3.0.3 włącznie. To umożliwia atakującym przesyłanie dowolnych plików na serwerze, co może prowadzić do zdalnego wykonania kodu.

Ocena ryzyka

Organizacje mogą być narażone na ataki, które pozwalają na przesyłanie złośliwego oprogramowania na serwer, co może prowadzić do przejęcia kontroli nad systemem. W konsekwencji, może to skutkować utratą danych lub naruszeniem bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć dodatkowe mechanizmy zabezpieczeń, takie jak ograniczenie typów plików, które mogą być przesyłane.

Oryginalny opis (angielski, źródło NVD)

The AIT CSV import/export plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the /wp-content/plugins/ait-csv-import-export/admin/upload-handler.php file in versions up to, and including, 3.0.3. This makes it possible for unauthorized attackers to upload arbitrary files on the affected sites server which may make remote code execution possible.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS