Katalog CVE

CVE-2024-58348

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka WordPress Background Image Cropper w wersji 1.2 zawiera podatność na zdalne wykonanie kodu, która pozwala nieautoryzowanym atakującym na przesyłanie dowolnych plików poprzez dostęp do punktu końcowego ups.php. Atakujący mogą przesyłać pliki PHP za pomocą formularza przesyłania plików w katalogu wtyczki, co umożliwia wykonanie dowolnego kodu na serwerze.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad serwerem i wycieku danych.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie wtyczki do najnowszej wersji, która usuwa tę podatność, oraz przeprowadzenie audytu bezpieczeństwa serwera w celu wykrycia potencjalnych zagrożeń.

Oryginalny opis (angielski, źródło NVD)

WordPress Background Image Cropper version 1.2 contains a remote code execution vulnerability that allows unauthenticated attackers to upload arbitrary files by accessing the ups.php endpoint. Attackers can upload PHP files through the file upload form in the plugin directory to execute arbitrary code on the server.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS