CVE-2024-58349
KrytyczneCVSS 9.8Streszczenie
Motyw WordPress Travelscape w wersji 1.0.3 zawiera podatność na nieautoryzowane przesyłanie plików, co pozwala atakującym na przesyłanie złośliwych plików poprzez niewystarczającą walidację funkcji przesyłania w motywie. Atakujący mogą przesyłać dowolne pliki do katalogu motywu i wykonywać je, co prowadzi do zdalnego wykonania kodu na zainfekowanej instalacji WordPress.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa, umożliwiając atakującym zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad stroną internetową oraz wycieku danych.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie motywu Travelscape do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe środki zabezpieczające, takie jak ograniczenie możliwości przesyłania plików przez nieautoryzowanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
WordPress Theme Travelscape 1.0.3 contains an arbitrary file upload vulnerability that allows unauthenticated attackers to upload malicious files by exploiting insufficient validation in the theme's upload functionality. Attackers can upload arbitrary files to the theme directory and execute them to achieve remote code execution on the affected WordPress installation.

