Plugin WordPress 'News and Blog Designer Bundle' w wersjach do 1.1 włącznie zawiera krytyczną podatność Local File Inclusion (LFI), umożliwiającą nieuwierzytelnionym atakującym wykonanie dowolnego kodu PHP na serwerze. Ze względu na brak wymogu uwierzytelnienia i możliwość pełnego przejęcia serwera podatność oceniona jest jako krytyczna (CVSS 9.8).
▸ Pokaż oryginał (EN)
The News and Blog Designer Bundle plugin for WordPress is vulnerable to Local File Inclusion in all versions up to, and including, 1.1 via the template parameter. This makes it possible for unauthenticated attackers to include and execute arbitrary .php files on the server, allowing the execution of any PHP code in those files. This can be used to bypass access controls, obtain sensitive data, or achieve code execution in cases where .php file types can be uploaded and included.
Podatność wynika z nieprawidłowej obsługi parametru 'template' w module AJAX pluginu (plik class-nbdb-ajax.php), który bez odpowiedniej walidacji pozwala wskazać dowolny plik .php na serwerze. Atakujący może zdalnie wywołać żądanie wskazujące na wybrany przez siebie plik PHP, który następnie zostanie załadowany i wykonany przez serwer. W scenariuszu, gdzie atakujący może wcześniej przesłać na serwer własny plik .php (np. przez inną funkcjonalność), możliwe jest osiągnięcie pełnego Remote Code Execution. Błąd klasyfikowany jest jako CWE-98 (improper control of filename for include/require statement).
Nieuwierzytelniony atakujący może wykonać dowolny kod PHP na serwerze, ominąć mechanizmy kontroli dostępu, uzyskać dostęp do wrażliwych danych lub całkowicie przejąć kontrolę nad serwerem hostującym witrynę WordPress.
Należy niezwłocznie zaktualizować plugin 'News and Blog Designer Bundle' do wersji wyższej niż 1.1. Jeśli aktualizacja nie jest jeszcze dostępna, należy dezaktywować lub usunąć plugin oraz ograniczyć możliwość przesyłania plików PHP na serwer. Szczegółowe informacje dostępne są w referencjach producenta i w bazie Wordfence.
Plugin WordPress 'News and Blog Designer Bundle' we wszystkich wersjach do 1.1 włącznie.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H