Krytyczna podatność typu PHP Local File Inclusion (LFI) w pluginie BeeTeam368 Extensions dla WordPress umożliwia nieuwierzytelnionemu atakującemu zdalne dołączenie dowolnych plików po stronie serwera. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko bez żadnych warunków wstępnych.
▸ Pokaż oryginał (EN)
Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion') vulnerability in beeteam368 BeeTeam368 Extensions beeteam368-extensions allows PHP Local File Inclusion.This issue affects BeeTeam368 Extensions: from n/a through <= 1.9.4.
Podatność wynika z nieprawidłowej kontroli nazwy pliku używanej w instrukcjach include/require języka PHP (CWE-98). Atakujący może dostarczyć spreparowaną ścieżkę do pliku, którą plugin następnie dołącza bez odpowiedniej walidacji. Pozwala to na odczytanie lub wykonanie lokalnych plików systemu operacyjnego serwera, do których proces PHP ma dostęp. Exploit nie wymaga uwierzytelnienia, interakcji użytkownika ani specjalnej konfiguracji środowiska.
Atakujący może odczytać poufne pliki systemowe (np. konfiguracje, dane uwierzytelniające) oraz potencjalnie wykonać kod PHP obecny na serwerze, prowadząc do pełnego przejęcia kontroli nad aplikacją i serwerem, ujawnienia danych oraz naruszenia integralności systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się natychmiastową aktualizację pluginu do wersji wyższej niż 1.9.4 lub jego deaktywację i usunięcie do czasu pojawienia się poprawionej wersji. Szczegóły dostępne w bazie Patchstack pod wskazanym adresem referencyjnym.
Plugin BeeTeam368 Extensions dla WordPress w wersjach od początku istnienia do 1.9.4 włącznie.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H