CRITICAL✓ PATCH🇬🇧 English

CVE-2024-49649

PHP Local File Inclusion w wtyczce WordPress Build App Online

CVSS 9.8v3.1pub. 2025-01-07upd. 2026-04-23

Wtyczka WordPress Build App Online w wersji do 1.0.23 włącznie zawiera podatność PHP Local File Inclusion (LFI), umożliwiającą nieuwierzytelnionemu atakującemu dołączenie dowolnych plików z serwera. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL), co czyni ją poważnym zagrożeniem dla serwisów opartych na WordPress.

Pokaż oryginał (EN)

Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion') vulnerability in hakeemnala Build App Online build-app-online allows PHP Local File Inclusion.This issue affects Build App Online: from n/a through <= 1.0.23.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej kontroli nazwy pliku przekazywanej do instrukcji include/require w kodzie PHP (CWE-98, CWE-829). Atakujący może manipulować parametrem wejściowym w taki sposób, aby wymusić na aplikacji dołączenie i wykonanie pliku znajdującego się na serwerze, na przykład plików logów, plików konfiguracyjnych lub innych zasobów dostępnych w systemie plików. Atak nie wymaga uwierzytelnienia ani interakcji ze strony użytkownika i może być przeprowadzony zdalnie przez sieć.

Skutki

Atakujący może odczytać poufne pliki z serwera (np. dane konfiguracyjne, hasła), a w sprzyjających warunkach doprowadzić do wykonania złośliwego kodu, co może skutkować pełnym przejęciem kontroli nad serwerem.

Mitygacja

Należy zaktualizować wtyczkę Build App Online do wersji wyższej niż 1.0.23. Szczegóły dotyczące dostępnych patchy znajdują się w referencjach producenta oraz w bazie Patchstack.

Kogo dotyczy

Wtyczka WordPress Build App Online autorstwa hakeemnala w wersjach od początku dostępności do 1.0.23 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Buildapp Build App Online

    APP
    Buildapp
    ≤ 1.0.23
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2023-51478CRITICAL9.8PL ✓ten sam produkt

Auth Bypass i privilege escalation w wtyczce Build App Online dla WordPress

CVE-2023-7264HIGH8.1ten sam produkt

The Build App Online plugin for WordPress is vulnerable to account takeover due to a weak password reset mecha...

CVE-2023-51479HIGH8.8ten sam produkt

Improper Privilege Management vulnerability in Abdul Hakeem Build App Online allows Privilege Escalation.This ...

CVE-2024-53751MEDIUM5.4ten sam produkt

Cross-Site Request Forgery (CSRF) vulnerability in hakeemnala Build App Online build-app-online allows Cross S...

CVE-2024-49649 — PHP Local File Inclusion w wtyczce WordPress Build App Online — CRITICAL 9.8 | CVEbaza.pl