Katalog CVE

CVE-2024-58349

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Motyw WordPress Travelscape w wersji 1.0.3 zawiera podatność na nieautoryzowane przesyłanie plików, co pozwala atakującym na przesyłanie złośliwych plików poprzez niewystarczającą walidację funkcji przesyłania w motywie. Atakujący mogą przesyłać dowolne pliki do katalogu motywu i wykonywać je, co prowadzi do zdalnego wykonania kodu na zainfekowanej instalacji WordPress.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa, umożliwiając atakującym zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad stroną internetową oraz wycieku danych.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie motywu Travelscape do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe środki zabezpieczające, takie jak ograniczenie możliwości przesyłania plików przez nieautoryzowanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

WordPress Theme Travelscape 1.0.3 contains an arbitrary file upload vulnerability that allows unauthenticated attackers to upload malicious files by exploiting insufficient validation in the theme's upload functionality. Attackers can upload arbitrary files to the theme directory and execute them to achieve remote code execution on the affected WordPress installation.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS