Wtyczka Vite Coupon do WordPress w wersjach do 1.0.9 zawiera krytyczną podatność typu Cross-Site Request Forgery (CSRF), która umożliwia atakującemu zdalne wykonanie kodu (RCE). Podatność otrzymała maksymalną ocenę CVSS 10.0, co czyni ją ekstremalnie groźną dla każdej witryny korzystającej z tej wtyczki.
▸ Pokaż oryginał (EN)
Cross-Site Request Forgery (CSRF) vulnerability in appsbd Vite Coupon vite-coupon allows Remote Code Inclusion.This issue affects Vite Coupon: from n/a through <= 1.0.9.
Atakujący może nakłonić uwierzytelnionego administratora witryny WordPress do odwiedzenia spreparowanej strony lub kliknięcia złośliwego odnośnika, co wywoła nieautoryzowane żądanie HTTP w jego imieniu (CSRF). Brak odpowiedniej weryfikacji tokenu CSRF w krytycznych punktach końcowych wtyczki Vite Coupon pozwala na dołączenie i wykonanie zdalnego kodu (Remote Code Inclusion) na serwerze. Atak nie wymaga żadnej autoryzacji po stronie atakującego ani interakcji innej niż skłonienie ofiary do wykonania jednej akcji w przeglądarce.
Skuteczny atak prowadzi do pełnego przejęcia kontroli nad serwerem — atakujący może wykonać dowolny kod, uzyskać dostęp do poufnych danych, modyfikować treść witryny oraz naruszyć integralność i dostępność całego systemu.
Należy natychmiast zaktualizować wtyczkę Vite Coupon do wersji wyższej niż 1.0.9. Jeśli aktualizacja nie jest jeszcze dostępna, należy niezwłocznie dezaktywować i usunąć wtyczkę. Szczegóły dotyczące patcha dostępne są w referencjach producenta oraz w bazie Patchstack.
Wtyczka WordPress Vite Coupon (appsbd) w wersjach od początku do 1.0.9 włącznie.
Podatność zgłoszona i opisana przez Patchstack. Wektor ataku sieciowy, brak wymagań co do uprawnień (PR:N) i zmieniony zakres (S:C) potęgują krytyczność mimo mechanizmu wymagającego interakcji użytkownika (UI:N wskazuje brak wymaganej interakcji po stronie atakującego).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H