Plugin Dynamics 365 Integration dla WordPress (wersje do 1.3.23 włącznie) zawiera krytyczną podatność umożliwiającą zdalne wykonanie kodu (RCE) oraz odczyt dowolnych plików z serwera. Wystarczy posiadać konto z poziomem dostępu Contributor lub wyższym, aby przeprowadzić atak.
▸ Pokaż oryginał (EN)
The Dynamics 365 Integration plugin for WordPress is vulnerable to Remote Code Execution and Arbitrary File Read in all versions up to, and including, 1.3.23 via Twig Server-Side Template Injection. This is due to missing input validation and sanitization on the render function. This makes it possible for authenticated attackers, with Contributor-level access and above, to execute code on the server.
Podatność wynika z braku walidacji i sanityzacji danych wejściowych w funkcji render obsługującej szablony Twig. Atakujący może wstrzyknąć złośliwy kod do szablonu Twig, który zostanie wykonany po stronie serwera (Server-Side Template Injection, SSTI). Mechanizm ten pozwala na wykonanie dowolnego kodu PHP lub systemowego w kontekście serwera webowego oraz na odczyt plików dostępnych dla procesu serwera.
Uwierzytelniony atakujący z dostępem na poziomie Contributor lub wyższym może wykonać dowolny kod na serwerze oraz odczytać dowolne pliki, co może prowadzić do pełnego przejęcia kontroli nad serwerem, wycieku danych i naruszenia integralności aplikacji.
Należy zaktualizować plugin Dynamics 365 Integration do wersji opublikowanej w changeset 3210927 lub nowszej, zgodnie z referencjami producenta dostępnymi w repozytorium WordPress.
Plugin Dynamics 365 Integration dla WordPress we wszystkich wersjach do 1.3.23 włącznie.
Podatny kod znajduje się w pliku src/Shortcode/Twig.php (linia 53) w repozytorium pluginu. Poprawka została opublikowana w changeset 3210927 repozytorium WordPress.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H