10 000 stron WordPress zagrożonych przez lukę w wtyczkach InPost PL i InPost for WooCommerce
25 czerwca 2024 roku, podczas akcji "0-day Threat Hunt Promo" w ramach programu Bug Bounty, zgłoszono lukę bezpieczeństwa w wtyczkach WordPress InPost PL i InPost for WooCommerce. Wtyczki te mają odpowiednio ponad 7 000 i 3 000 aktywnych instalacji. Ta luka umożliwia nieautoryzowanym osobom: czytanie i usuwanie dowolnych plików, w tym kluczowego pliku wp-config.php, co może doprowadzić do przejęcia strony i zdalnego wykonania kodu.
Pełne szczegóły dotyczące luki zostały przekazane twórcom wtyczek z Inspire Labs 4 lipca 2024 roku, a 10 lipca wydano aktualizację zabezpieczającą dla wtyczki InPost PL. Wtyczka InPost for WooCommerce została usunięta z repozytorium WordPress 8 sierpnia 2024 roku.
Zachęcamy użytkowników do zaktualizowania wtyczki InPost PL do wersji 1.4.5 oraz usunięcia wtyczki InPost for WooCommerce, jeśli nadal ją używają.
Podsumowanie luki:
- Opis: Brak autoryzacji umożliwiający nieautoryzowany odczyt i usuwanie plików
- Wtyczki dotknięte: InPost PL, InPost for WooCommerce
- Wersje: InPost PL <= 1.4.4, InPost for WooCommerce <= 1.4.0
- ID CVE: CVE-2024-6500
- Ocena CVSS: 10.0 (Krytyczna)
- Nagroda za zgłoszenie: 450 USD
Luka dotyczy braku sprawdzania uprawnień w funkcji parse_request(), co pozwala atakującym na czytanie i usuwanie dowolnych plików na serwerze, w tym krytycznego pliku wp-config.php.
Wnioski: Luka w wtyczkach InPost PL (do wersji 1.4.4) oraz InPost for WooCommerce (do wersji 1.4.0) pozwala na odczyt i usunięcie dowolnych plików na serwerze, co może prowadzić do przejęcia strony. Zaktualizuj wtyczkę InPost PL do wersji 1.4.5 i usuń wtyczkę InPost for WooCommerce.
Kontakt z nami
Masz pomysły, uwagi lub pytania?
Liczba wyświetleń: 1