Plugin JoomSport dla WordPress (wersje do 5.7.3 włącznie) zawiera krytyczną podatność typu Local File Inclusion (LFI) w parametrze task, umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie kodu PHP na serwerze. Podatność jest szczególnie groźna, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
The JoomSport – for Sports: Team & League, Football, Hockey & more plugin for WordPress is vulnerable to Local File Inclusion in all versions up to, and including, 5.7.3 via the task parameter. This makes it possible for unauthenticated attackers to include and execute arbitrary .php files on the server, allowing the execution of any PHP code in those files. This can be used to bypass access controls, obtain sensitive data, or achieve code execution in cases where .php file types can be uploaded and included.
Podatność (CWE-98: PHP Remote File Inclusion) wynika z braku odpowiedniej walidacji wartości parametru task przekazywanego przez użytkownika w klasie class-jsport-controller.php. Atakujący może za pomocą spreparowanego żądania HTTP wskazać dowolny plik .php obecny na serwerze, który następnie zostanie dołączony i wykonany przez interpreter PHP. W scenariuszu, w którym atakujący ma możliwość wcześniejszego przesłania pliku .php na serwer (np. poprzez mechanizm upload), podatność ta prowadzi bezpośrednio do zdalnego wykonania kodu (RCE).
Nieuwierzytelniony atakujący może wykonać dowolny kod PHP na serwerze, ominąć mechanizmy kontroli dostępu oraz uzyskać dostęp do poufnych danych. W sprzyjających warunkach możliwe jest przejęcie pełnej kontroli nad serwerem.
Należy niezwłocznie zaktualizować plugin JoomSport do wersji wyższej niż 5.7.3. Poprawka dostępna jest w repozytorium WordPress pod changesetem 3371353. Do czasu aktualizacji zaleca się dezaktywację pluginu na stronach produkcyjnych.
Plugin JoomSport – for Sports: Team & League, Football, Hockey & more dla WordPress we wszystkich wersjach do 5.7.3 włącznie.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H