CRITICAL✓ PATCH🇬🇧 English

CVE-2024-56046

Niekontrolowane przesyłanie plików w pluginie WPLMS — upload Web Shell

CVSS 10.0v3.1pub. 2024-12-31upd. 2026-04-23

Krytyczna podatność w pluginie WPLMS (VibeThemes) dla WordPress umożliwia nieuwierzytelnionemu atakującemu przesłanie na serwer pliku dowolnego typu, w tym Web Shell. Zagrożenie otrzymało maksymalny wynik CVSS 10.0, co wskazuje na pełne ryzyko przejęcia kontroli nad serwerem.

Pokaż oryginał (EN)

Unrestricted Upload of File with Dangerous Type vulnerability in VibeThemes WPLMS wplms_plugin allows Upload a Web Shell to a Web Server.This issue affects WPLMS: from n/a through <= 1.9.9.

🤖 Analiza AI
Jak działa

Plugin WPLMS w wersjach do 1.9.9 włącznie nie weryfikuje w sposób wystarczający typu ani zawartości przesyłanych plików (CWE-434). Atakujący bez żadnego uwierzytelnienia może przesłać na serwer plik wykonywalny, np. Web Shell w PHP. Po umieszczeniu takiego pliku na serwerze możliwe jest jego zdalne wywołanie przez HTTP i wykonanie dowolnych poleceń systemowych w kontekście procesu serwera WWW.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem WWW poprzez uruchomienie Web Shell — umożliwia to odczyt i modyfikację danych, eskalację uprawnień, lateral movement w sieci wewnętrznej oraz całkowite przejęcie środowiska hostingowego.

Mitygacja

Należy niezwłocznie zaktualizować plugin WPLMS do wersji wyższej niż 1.9.9. Szczegółowe informacje o dostępnym patchu dostępne są w referencjach producenta oraz w bazie Patchstack. Do czasu aktualizacji zaleca się tymczasowe wyłączenie pluginu oraz monitorowanie katalogu uploads pod kątem podejrzanych plików wykonywalnych.

Kogo dotyczy

Plugin WPLMS (wplms_plugin) autorstwa VibeThemes dla WordPress, wersje od początku do 1.9.9 włącznie.

Uwagi

Podatność opisana i opublikowana przez Patchstack. Wektor ataku sieciowy bez wymagań uwierzytelnienia i interakcji użytkownika (AV:N/AC:L/PR:N/UI:N) przy maksymalnym CVSS 10.0 czyni ją szczególnie niebezpieczną dla wszystkich instalacji WordPress z tym pluginem.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Vibethemes WordPress Learning Management System

    APP
    Vibethemes
    < 1.9.9.1
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2024-56045CRITICAL9.3PL ✓ten sam produkt

Path Traversal w WPLMS — nieautoryzowane usuwanie katalogów

CVE-2024-56042CRITICAL9.3PL ✓ten sam produkt

SQL Injection w pluginie WPLMS dla WordPress (VibeThemes)

CVE-2024-56043CRITICAL9.8PL ✓ten sam produkt

WPLMS Plugin – nieuwierzytelniona eskalacja uprawnień (privilege escalation)

CVE-2024-56044CRITICAL9.8PL ✓ten sam produkt

Authentication Bypass w pluginie WPLMS dla WordPress (do wersji 1.9.9)

CVE-2024-56050CRITICAL9.9PL ✓ten sam produkt

Nieograniczony upload plików w WPLMS — możliwość wgrania Web Shell