CRITICAL✓ PATCH🇬🇧 English

CVE-2024-52427

RCE przez deserializację danych w pluginie Event Tickets with Ticket Scanner

CVSS 9.9v3.1pub. 2024-11-18upd. 2026-04-23

Krytyczna podatność w pluginie WordPress 'Event Tickets with Ticket Scanner' firmy Vollstart umożliwia atakującemu wykonanie zdalnego kodu (RCE) poprzez wstrzyknięcie Server Side Include (SSI). Wysoki wynik CVSS 9.9 oraz zakres ataku wykraczający poza środowisko hosta czynią tę podatność szczególnie niebezpieczną.

Pokaż oryginał (EN)

Deserialization of Untrusted Data vulnerability in Vollstart Event Tickets with Ticket Scanner event-tickets-with-ticket-scanner allows Server Side Include (SSI) Injection.This issue affects Event Tickets with Ticket Scanner: from n/a through <= 2.3.11.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej deserializacji niezaufanych danych (CWE-94, CWE-82), co umożliwia wstrzyknięcie dyrektyw Server Side Include (SSI Injection). Atakujący z podstawowymi uprawnieniami (uwierzytelniony użytkownik) może przesłać spreparowane dane, które zostaną poddane niebezpiecznej deserializacji po stronie serwera. W efekcie możliwe jest wykonanie dowolnego kodu w kontekście serwera, potencjalnie wychodzące poza izolację aplikacji (Scope Changed).

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem, w tym poufność, integralność i dostępność systemu są całkowicie zagrożone. Możliwe jest wykonanie dowolnych poleceń systemowych, kradzież danych oraz przejęcie środowiska hostingowego.

Mitygacja

Należy niezwłocznie zaktualizować plugin 'Event Tickets with Ticket Scanner' do wersji wyższej niż 2.3.11. Szczegóły dotyczące dostępnego patcha dostępne są w referencjach producenta oraz w bazie Patchstack. Do czasu aktualizacji zaleca się dezaktywację pluginu.

Kogo dotyczy

Plugin WordPress 'Event Tickets with Ticket Scanner' (Vollstart) w wersjach od n/a do 2.3.11 włącznie.

Uwagi

Podatność została ujawniona i udokumentowana przez Patchstack. Wymaga posiadania konta użytkownika na docelowej instalacji WordPress (PR:L), jednak brak wymagań interakcji użytkownika i szeroki zakres ataku znacząco podnoszą ryzyko.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Vollstart Event Tickets With Ticket Scanner

    APP
    Vollstart
    < 2.3.12
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Deserialization
CWE
Referencje

Powiązane podatności

CVE-2024-35652HIGH7.1ten sam produkt

Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') vulnerability in S...

CVE-2025-1762MEDIUM4.3ten sam produkt

The Event Tickets with Ticket Scanner WordPress plugin before 2.5.4 does not have CSRF check in place when upd...

CVE-2024-6711LOW3.5ten sam produkt

The Event Tickets with Ticket Scanner WordPress plugin before 2.3.8 does not sanitise and escape some paramete...