CRITICAL✓ PATCH🇬🇧 English

CVE-2024-52434

RCE przez deserializację niezaufanych danych w Popup by Supsystic (WordPress)

CVSS 9.1v3.1pub. 2024-11-18upd. 2026-04-23

Wtyczka Popup by Supsystic dla WordPress w wersji do 1.10.29 włącznie zawiera krytyczną podatność deserializacji niezaufanych danych umożliwiającą zdalne wykonanie kodu (RCE). Podatność jest szczególnie niebezpieczna, ponieważ pozwala atakującemu na przejęcie kontroli nad serwerem hostującym witrynę.

Pokaż oryginał (EN)

Deserialization of Untrusted Data vulnerability in supsystic Popup by Supsystic popup-by-supsystic allows Command Injection.This issue affects Popup by Supsystic: from n/a through <= 1.10.29.

🤖 Analiza AI
Jak działa

Podatność polega na niebezpiecznej deserializacji danych wejściowych bez ich odpowiedniej walidacji (CWE-94, CWE-82). Atakujący z uprawnieniami administratora może dostarczyć specjalnie spreparowany, złośliwy obiekt serializowany, który podczas przetwarzania przez wtyczkę prowadzi do wykonania arbitralnych poleceń systemowych (command injection). Mimo że wymagane są uprawnienia wysokiego poziomu (PR:H), zakres podatności wykracza poza samą aplikację (Scope: Changed), co oznacza możliwość wpływu na cały system serwerowy.

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na zdalne wykonanie dowolnego kodu na serwerze (RCE), a także na pełne naruszenie poufności, integralności i dostępności systemu, potencjalnie prowadząc do całkowitego przejęcia serwera.

Mitygacja

Należy niezwłocznie zaktualizować wtyczkę Popup by Supsystic do wersji wyższej niż 1.10.29. Szczegółowe informacje o dostępnych łatach znajdują się w referencjach producenta oraz w bazie Patchstack. Do czasu aktualizacji zaleca się dezaktywację wtyczki.

Kogo dotyczy

Wtyczka Popup by Supsystic (popup-by-supsystic) dla WordPress w wersjach od początku istnienia do 1.10.29 włącznie

Uwagi

Podatność została zgłoszona i opublikowana przez Patchstack. Pomimo wysokich wymaganych uprawnień (administrator WordPress), ocena CVSS wynosi 9.1 (CRITICAL) ze względu na zmianę zakresu (Scope Changed) i pełny wpływ na poufność, integralność oraz dostępność systemu.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Supsystic Popup

    APP
    Supsystic
    ≤ 1.10.29
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Deserialization
CWE
Referencje

Powiązane podatności

CVE-2023-3186CRITICAL9.8ten sam produkt

The Popup by Supsystic WordPress plugin before 1.10.19 has a prototype pollution vulnerability that could allo...

CVE-2016-10915HIGH8.8ten sam produkt

The popup-by-supsystic plugin before 1.7.9 for WordPress has CSRF.

CVE-2023-39997MEDIUM5.3ten sam produkt

Missing Authorization vulnerability in supsystic.com Popup by Supsystic allows Exploiting Incorrectly Configur...

CVE-2023-51353MEDIUM5.3ten sam produkt

Missing Authorization vulnerability in supsystic Popup by Supsystic popup-by-supsystic allows Exploiting Incor...

CVE-2023-46197MEDIUM5.3ten sam produkt

Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') vulnerability in supsystic.Com ...