CRITICAL✓ PATCH🇬🇧 English

CVE-2023-49830

RCE w Astra Pro – code injection dostępny dla zalogowanych użytkowników

CVSS 9.9v3.1pub. 2023-12-29upd. 2026-04-28

Wtyczka Astra Pro do WordPress (wersje do 4.3.1 włącznie) zawiera krytyczną podatność typu code injection, umożliwiającą zdalne wykonanie kodu na serwerze. Zagrożenie jest szczególnie poważne, ponieważ atak może przeprowadzić użytkownik z rolą co najmniej Contributor, bez interakcji po stronie ofiary.

Pokaż oryginał (EN)

Improper Control of Generation of Code ('Code Injection') vulnerability in Brainstorm Force Astra Pro.This issue affects Astra Pro: from n/a through 4.3.1.

🤖 Analiza AI
Jak działa

Podatność wynika z niewłaściwej kontroli generowania kodu (CWE-94), co klasyfikuje ją jako code injection. Atakujący z uprawnieniami Contributora może dostarczyć do aplikacji spreparowany payload, który zostanie wykonany jako kod po stronie serwera. Ze względu na wektor sieciowy (AV:N), niską złożoność ataku (AC:L) oraz zmieniony zakres (S:C), skutki wykonania złośliwego kodu mogą wykraczać poza samą wtyczkę i obejmować cały serwer.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem — odczytać, zmodyfikować lub usunąć dane, a także potencjalnie przejąć cały serwis WordPress. Kompromitacja obejmuje poufność, integralność i dostępność systemu na najwyższym poziomie.

Mitygacja

Należy niezwłocznie zaktualizować wtyczkę Astra Pro do wersji wyższej niż 4.3.1, zgodnie z informacjami producenta oraz bazą Patchstack. Zaleca się również przegląd kont użytkowników z rolą Contributor i wyższą pod kątem nieautoryzowanych zmian.

Kogo dotyczy

Wtyczka Brainstorm Force Astra Pro we wszystkich wersjach od początku do 4.3.1 włącznie.

Uwagi

Według bazy Patchstack podatność umożliwia RCE użytkownikowi z rolą Contributor (contributor-level RCE). Podatność nie figuruje w katalogu CISA KEV.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Brainstormforce Astra

    APP
    Brainstormforce
    ≤ 4.3.1
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2021-24507CRITICAL9.8ten sam produkt

The Astra Pro Addon WordPress plugin before 3.5.2 did not properly sanitise or escape some of the POST paramet...

CVE-2023-44148MEDIUM5.4ten sam produkt

Missing Authorization vulnerability in Brainstorm Force Astra Bulk Edit.This issue affects Astra Bulk Edit: fr...

CVE-2025-6691HIGH8.1ten sam vendor

The SureForms – Drag and Drop Form Builder for WordPress plugin for WordPress is vulnerable to arbitrary file ...

CVE-2025-6742HIGH7.5ten sam vendor

The SureForms – Drag and Drop Form Builder for WordPress plugin for WordPress is vulnerable to PHP Object Inje...

CVE-2024-37455HIGH8.8ten sam vendor

Improper Privilege Management vulnerability in Brainstorm Force Ultimate Addons for Elementor allows Privilege...