CRITICAL✓ PATCH🇬🇧 English

CVE-2023-51411

Nieuwierzytelniony upload dowolnych plików w WordPress Frontend Admin by DynamiApps

CVSS 10.0v3.1pub. 2023-12-29upd. 2026-04-28

Wtyczka WordPress Frontend Admin by DynamiApps (do wersji 3.18.3 włącznie) umożliwia nieuwierzytelnionemu atakującemu przesyłanie na serwer plików dowolnego typu, w tym plików wykonywalnych. Podatność uzyskała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie niebezpieczną dla każdej instalacji WordPressa korzystającej z tej wtyczki.

Pokaż oryginał (EN)

Unrestricted Upload of File with Dangerous Type vulnerability in Shabti Kaplan Frontend Admin by DynamiApps.This issue affects Frontend Admin by DynamiApps: from n/a through 3.18.3.

🤖 Analiza AI
Jak działa

Podatność typu CWE-434 (Unrestricted Upload of File with Dangerous Type) wynika z braku odpowiedniej weryfikacji typu i zawartości przesyłanego pliku po stronie serwera. Atakujący bez żadnego uwierzytelnienia może przesłać plik z niebezpiecznym rozszerzeniem (np. PHP) poprzez mechanizm obsługi formularzy frontendowych dostarczany przez wtyczkę. Po umieszczeniu złośliwego pliku na serwerze atakujący może następnie wykonać jego zawartość, uzyskując zdalną kontrolę nad serwerem.

Skutki

Atakujący może uzyskać możliwość zdalnego wykonania kodu (RCE) na serwerze hostującym podatną instalację WordPress, co w konsekwencji może prowadzić do pełnego przejęcia serwera, kradzieży danych, instalacji backdoorów oraz dalszego lateral movement w infrastrukturze.

Mitygacja

Należy niezwłocznie zaktualizować wtyczkę Frontend Admin by DynamiApps do wersji wyższej niż 3.18.3, zgodnie z informacjami dostępnymi u producenta oraz w bazie Patchstack. Do czasu aktualizacji zaleca się wyłączenie wtyczki. Warto również przeprowadzić audyt plików na serwerze w celu wykrycia ewentualnie już przesłanych złośliwych plików.

Kogo dotyczy

Wtyczka WordPress Frontend Admin by DynamiApps (acf-frontend-form-element) w wersjach od początku istnienia do 3.18.3 włącznie.

Uwagi

Podatność została zgłoszona i udokumentowana przez serwis Patchstack. Wektor ataku nie wymaga uwierzytelnienia ani interakcji użytkownika, a zakres oddziaływania wykracza poza podatny komponent (S:C), co uzasadnia maksymalny wynik CVSS 10.0.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Dynamiapps Frontend Admin

    APP
    Dynamiapps
    ≤ 3.18.3
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2024-3729CRITICAL9.8PL ✓ten sam produkt

Auth Bypass i privilege escalation w pluginie Frontend Admin dla WordPress

CVE-2025-26987HIGH7.1ten sam produkt

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability in Shabti K...

CVE-2024-11720HIGH7.2ten sam produkt

The Frontend Admin by DynamiApps plugin for WordPress is vulnerable to Stored Cross-Site Scripting via submiss...

CVE-2024-11721HIGH8.1ten sam produkt

The Frontend Admin by DynamiApps plugin for WordPress is vulnerable to privilege escalation in all versions up...

CVE-2024-11722MEDIUM5.9ten sam produkt

The Frontend Admin by DynamiApps plugin for WordPress is vulnerable to SQL Injection via the 'orderby' paramet...

CVE-2023-51411 — Nieuwierzytelniony upload dowolnych plików w WordPress Frontend Admin by DynamiApps — CRITICAL 10.0 | CVEbaza.pl