CVE-2024-58348
KrytyczneCVSS 9.8Streszczenie
Wtyczka WordPress Background Image Cropper w wersji 1.2 zawiera podatność na zdalne wykonanie kodu, która pozwala nieautoryzowanym atakującym na przesyłanie dowolnych plików poprzez dostęp do punktu końcowego ups.php. Atakujący mogą przesyłać pliki PHP za pomocą formularza przesyłania plików w katalogu wtyczki, co umożliwia wykonanie dowolnego kodu na serwerze.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad serwerem i wycieku danych.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie wtyczki do najnowszej wersji, która usuwa tę podatność, oraz przeprowadzenie audytu bezpieczeństwa serwera w celu wykrycia potencjalnych zagrożeń.
Oryginalny opis (angielski, źródło NVD)
WordPress Background Image Cropper version 1.2 contains a remote code execution vulnerability that allows unauthenticated attackers to upload arbitrary files by accessing the ups.php endpoint. Attackers can upload PHP files through the file upload form in the plugin directory to execute arbitrary code on the server.

