CRITICAL🇬🇧 English

CVE-2024-6500

Nieautoryzowany odczyt i usuwanie plików w pluginach InPost dla WordPress

CVSS 10.0v3.1pub. 2024-08-17upd. 2026-04-15

Pluginy InPost for WooCommerce oraz InPost PL dla WordPress zawierają krytyczną podatność umożliwiającą nieuwierzytelnionemu atakującemu odczyt i usuwanie dowolnych plików na serwerze. Luka wynika z braku weryfikacji uprawnień w funkcji 'parse_request' i otrzymała maksymalny wynik CVSS 10.0.

Pokaż oryginał (EN)

The InPost for WooCommerce plugin and InPost PL plugin for WordPress are vulnerable to unauthorized access and deletion of data due to a missing capability check on the 'parse_request' function in all versions up to, and including, 1.4.0 (for InPost for WooCommerce) as well as 1.4.4 (for InPost PL). This makes it possible for unauthenticated attackers to read and delete arbitrary files on Windows servers. On Linux servers, only files within the WordPress install will be deleted, but all files can be read.

🤖 Analiza AI
Jak działa

Podatność (CWE-862 — brak sprawdzenia uprawnień) polega na tym, że funkcja 'parse_request' nie weryfikuje, czy wywołujący ją użytkownik posiada odpowiednie uprawnienia. Każdy nieuwierzytelniony użytkownik może wywołać tę funkcję przez sieć bez żadnych dodatkowych warunków wstępnych. Na serwerach Windows możliwy jest odczyt i usunięcie dowolnych plików w systemie. Na serwerach Linux zakres usuwania plików ogranicza się do instalacji WordPress, jednak odczyt obejmuje wszystkie dostępne pliki.

Skutki

Atakujący bez żadnego uwierzytelnienia może odczytać wrażliwe pliki serwera (np. konfiguracje, dane dostępowe) oraz trwale usunąć pliki, co może doprowadzić do utraty danych lub całkowitego unieruchomienia serwisu.

Mitygacja

Należy niezwłocznie zaktualizować plugin InPost for WooCommerce do wersji wyższej niż 1.4.0 oraz plugin InPost PL do wersji wyższej niż 1.4.4. Patche dostępne są w repozytorium WordPress.org. Zgodnie z dostępnymi referencjami, poprawka została wprowadzona w changeście 3115602 dla pluginu InPost for WooCommerce.

Kogo dotyczy

Plugin InPost for WooCommerce dla WordPress we wszystkich wersjach do 1.4.0 włącznie oraz plugin InPost PL dla WordPress we wszystkich wersjach do 1.4.4 włącznie.

Uwagi

Podatność wykazuje asymetryczne zachowanie zależne od systemu operacyjnego serwera: na Windows możliwy jest nieograniczony odczyt i usuwanie plików systemowych, natomiast na Linux usuwanie ograniczone jest do katalogu instalacji WordPress, jednak odczyt pozostaje nieograniczony.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje
CVE-2024-6500 — Nieautoryzowany odczyt i usuwanie plików w pluginach InPost dla WordPress — CRITICAL 10.0 | CVEbaza.pl