CRITICAL✓ PATCH🇬🇧 English

CVE-2024-48042

RCE poprzez deserializację w pluginie Contact Form by Supsystic (WordPress)

CVSS 9.1v3.1pub. 2024-10-16upd. 2026-04-23

Krytyczna podatność w pluginie WordPress Contact Form by Supsystic (wersje do 1.7.28 włącznie) umożliwia zdalne wykonanie poleceń systemowych (Command Injection) poprzez deserializację niezaufanych danych. Zagrożenie jest szczególnie poważne ze względu na wysoki wynik CVSS 9.1 oraz zakres oddziaływania wykraczający poza bezpośredni komponent.

Pokaż oryginał (EN)

Deserialization of Untrusted Data vulnerability in supsystic Contact Form by Supsystic contact-form-by-supsystic allows Command Injection.This issue affects Contact Form by Supsystic: from n/a through <= 1.7.28.

🤖 Analiza AI
Jak działa

Plugin nieprawidłowo deserializuje dane wejściowe pochodzące z niezaufanych źródeł, co jest klasyfikowane jako CWE-82 (Improper Neutralization of Script in Attributes of IMG Tags, ale w kontekście szerszym — deserializacja bez walidacji). Atakujący z uprawnieniami administratora może przekazać spreparowane, serializowane dane, które po przetworzeniu przez aplikację prowadzą do wykonania arbitralnych poleceń systemowych po stronie serwera. Zakres oddziaływania obejmuje zasoby wykraczające poza sam plugin (Scope: Changed), co oznacza możliwość wpływu na cały system hostujący witrynę WordPress.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem — wykonywać dowolne polecenia, odczytywać i modyfikować pliki systemowe oraz potencjalnie przejąć kontrolę nad całą infrastrukturą hostingową. Poufność, integralność i dostępność systemu są zagrożone w najwyższym stopniu.

Mitygacja

Należy natychmiast zaktualizować plugin Contact Form by Supsystic do wersji wyższej niż 1.7.28. Szczegóły dotyczące patcha dostępne są w referencjach producenta oraz w bazie Patchstack. Jeśli aktualizacja nie jest natychmiast możliwa, zaleca się dezaktywację pluginu do czasu wdrożenia poprawki.

Kogo dotyczy

Plugin WordPress Contact Form by Supsystic w wersjach od n/a do 1.7.28 włącznie.

Uwagi

Podatność wymaga uprawnień administratora (PR:H), co ogranicza powierzchnię ataku do scenariuszy, w których atakujący posiada już dostęp do panelu administracyjnego WordPress lub zdołał go przejąć. Szczegóły techniczne dostępne w bazie Patchstack pod wskazanym adresem URL.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Deserialization
CWE
Referencje