CRITICAL✓ PATCH🇬🇧 English

CVE-2024-52416

Brak autoryzacji w WordPress plugin Debug Tool umożliwia upload Web Shell

CVSS 10.0v3.1pub. 2024-11-16upd. 2026-04-23

Plugin Debug Tool dla WordPress w wersji do 2.2 włącznie zawiera podatność typu Missing Authorization, która pozwala nieuwierzytelnionemu atakującemu na wgranie Web Shell na serwer. Luka otrzymała maksymalny wynik CVSS 10.0, co czyni ją krytycznym zagrożeniem dla każdej instalacji WordPressa korzystającej z tego pluginu.

Pokaż oryginał (EN)

Missing Authorization vulnerability in Eugen Bobrowski Debug Tool debug-tool allows Upload a Web Shell to a Web Server.This issue affects Debug Tool: from n/a through <= 2.2.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiednich mechanizmów kontroli autoryzacji (CWE-862) przy obsłudze funkcjonalności przesyłania plików w pluginie Debug Tool. Atakujący bez żadnego uwierzytelnienia może wysłać żądanie sieciowe przesyłające złośliwy plik (Web Shell) bezpośrednio na serwer WWW. Brak weryfikacji uprawnień sprawia, że operacja zostaje wykonana z powodzeniem niezależnie od roli użytkownika czy sesji.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem poprzez wykonanie dowolnego kodu (RCE) za pośrednictwem wgranego Web Shell. Możliwe jest ujawnienie, modyfikacja lub usunięcie danych, a także dalszy lateral movement w infrastrukturze.

Mitygacja

Należy niezwłocznie zaktualizować plugin Debug Tool do wersji wyższej niż 2.2 lub — jeśli aktualizacja nie jest dostępna — natychmiast dezaktywować i usunąć plugin ze wszystkich instalacji WordPress. Szczegóły dotyczące dostępnych poprawek dostępne są w referencjach Patchstack.

Kogo dotyczy

Plugin Debug Tool autorstwa Eugena Bobrowskiego dla WordPress w wersjach od początku istnienia (n/a) do 2.2 włącznie.

Uwagi

Podatność została opublikowana w bazie Patchstack jako zdalne wykonanie kodu (RCE). CVSS wynosi maksymalne 10.0 przy wektorze sieciowym bez wymaganego uwierzytelnienia i interakcji użytkownika (AV:N/AC:L/PR:N/UI:N), co czyni ją wyjątkowo łatwą do wykorzystania.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje