CRITICAL✓ PATCH🇬🇧 English

CVE-2024-56012

CSRF umożliwiający Privilege Escalation w WordPress Flash News / Post (Responsive)

CVSS 9.8v3.1pub. 2024-12-16upd. 2026-04-23

Wtyczka WordPress Flash News / Post (Responsive) w wersji do 4.1 włącznie zawiera podatność Cross-Site Request Forgery (CSRF), która pozwala na eskalację uprawnień. Podatność jest krytyczna, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika poza jednorazowym odwiedzeniem złośliwej strony.

Pokaż oryginał (EN)

Cross-Site Request Forgery (CSRF) vulnerability in lizeipe Flash News / Post (Responsive) flashnews-fading-effect-pearlbells allows Privilege Escalation.This issue affects Flash News / Post (Responsive): from n/a through <= 4.1.

🤖 Analiza AI
Jak działa

Podatność CSRF (CWE-352) polega na braku odpowiedniej weryfikacji źródła żądań HTTP kierowanych do wrażliwych funkcji wtyczki. Atakujący może przygotować złośliwą stronę internetową, która w tle wysyła sfałszowane żądanie do panelu WordPress ofiary. Jeśli zalogowany użytkownik (np. administrator) odwiedzi tę stronę, żądanie zostanie wykonane z jego uprawnieniami bez jego wiedzy, co prowadzi do eskalacji uprawnień atakującego.

Skutki

Atakujący może uzyskać podwyższone uprawnienia w systemie WordPress, potencjalnie przejmując pełną kontrolę nad witryną, w tym możliwość modyfikacji treści, instalacji backdoorów lub przejęcia kont administratora.

Mitygacja

Należy zaktualizować wtyczkę Flash News / Post (Responsive) do wersji wyższej niż 4.1. Jeśli aktualizacja nie jest dostępna, należy dezaktywować i usunąć wtyczkę. Szczegółowe informacje dostępne są w bazie Patchstack pod wskazanym adresem referencyjnym.

Kogo dotyczy

Wtyczka WordPress Flash News / Post (Responsive) (slug: flashnews-fading-effect-pearlbells) autorstwa lizeipe, wersje od n/a do 4.1 włącznie.

Uwagi

Podatność została opublikowana przez Patchstack w bazie podatności WordPress. CVSS 9.8 przy wektorze AV:N/AC:L/PR:N/UI:N jest niestandartowo wysokim wynikiem dla podatności CSRF, która zazwyczaj wymaga interakcji użytkownika (UI:R) — administratorzy powinni zweryfikować rzeczywisty zakres ryzyka w dokumentacji producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
LPE
CWE
Referencje