CVE-2022-50972
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 45 — wyżej niż 45% wszystkich znanych CVE
Streszczenie
WooCommerce w wersji 7.1.0 zawiera podatność na zdalne wykonanie kodu, która umożliwia atakującym wykonywanie dowolnego kodu PHP poprzez wstrzykiwanie poleceń powłoki za pomocą parametru typu produktu.
Ocena ryzyka
Atakujący mogą wysyłać żądania do punktu końcowego class-wc-meta-box-product-images.php z niesanitizowanymi wartościami typu produktu, co pozwala na zapisanie złośliwych plików PHP w katalogu głównym serwera.
Rekomendacja
Zaleca się aktualizację WooCommerce do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczeń, takich jak filtrowanie danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
WooCommerce 7.1.0 contains a remote code execution vulnerability that allows attackers to execute arbitrary PHP code by injecting shell commands through the product-type parameter. Attackers can send requests to the class-wc-meta-box-product-images.php endpoint with unsanitized product-type values to write malicious PHP files to the web root.

