Podatność typu PHP Local File Inclusion w wtyczce Geo Mashup dla WordPress umożliwia nieuwierzytelnionemu atakującemu zdalne dołączenie lokalnych plików PHP. Ocena CVSS 9.8 (CRITICAL) wskazuje na bardzo wysokie ryzyko naruszenia poufności, integralności i dostępności systemu.
▸ Pokaż oryginał (EN)
Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion') vulnerability in Dylan Kuhn Geo Mashup geo-mashup allows PHP Local File Inclusion.This issue affects Geo Mashup: from n/a through <= 1.13.16.
Podatność wynika z nieprawidłowej kontroli nazwy pliku w instrukcjach include/require języka PHP (CWE-98). Atakujący może manipulować parametrami wejściowymi w taki sposób, aby aplikacja dołączyła i wykonała arbitralny lokalny plik PHP na serwerze. Nie jest wymagane uwierzytelnienie ani interakcja użytkownika, a atak możliwy jest bezpośrednio przez sieć.
Atakujący może uzyskać pełen dostęp do poufnych danych na serwerze, zmodyfikować zawartość witryny lub doprowadzić do jej niedostępności. W sprzyjających okolicznościach możliwe jest również zdalne wykonanie kodu (RCE) na serwerze docelowym.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — zaktualizować wtyczkę Geo Mashup do wersji wyższej niż 1.13.16 niezwłocznie po udostępnieniu przez autora lub repozytorium WordPress.
Wtyczka Geo Mashup autorstwa Dylan Kuhn dla WordPress w wersjach od n/a do 1.13.16 włącznie.
Szczegóły techniczne podatności oraz informacje o poprawionej wersji dostępne są w bazie Patchstack pod adresem wskazanym w referencjach.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H