Podatność krytyczna w pluginie WordPress Easy Invoice w wersjach do 2.1.19 włącznie umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu na serwerze. Brak wymogu jakiegokolwiek uwierzytelnienia sprawia, że atak może przeprowadzić każdy użytkownik sieci.
▸ Pokaż oryginał (EN)
Unauthenticated Remote Code Execution (RCE) in Easy Invoice <= 2.1.19 versions.
Podatność sklasyfikowana jako CWE-94 (Code Injection) polega na możliwości wstrzyknięcia i wykonania złośliwego kodu przez atakującego bez konieczności posiadania konta w systemie WordPress. Wektor ataku sieciowego (AV:N) przy braku wymagań dotyczących uprawnień (PR:N) i interakcji użytkownika (UI:N) oznacza, że exploit może być przeprowadzony zdalnie przez dowolną osobę mającą dostęp do serwera WWW. Zakres podatności wykracza poza sam plugin (S:C), co wskazuje na możliwość wpływu na szerszy kontekst systemu.
Atakujący może uzyskać pełną kontrolę nad serwerem — wykonać dowolny kod, odczytać lub zmodyfikować dane (w tym dane faktur i klientów), a także całkowicie wyłączyć działanie serwisu. Kompromitacja obejmuje poufność, integralność i dostępność systemu na poziomie krytycznym.
Należy niezwłocznie zaktualizować plugin Easy Invoice do wersji wyższej niż 2.1.19. Szczegółowe informacje o dostępnym patchu dostępne są w referencjach producenta oraz w bazie Patchstack. Do czasu aktualizacji zaleca się wyłączenie lub deinstalację pluginu.
Plugin WordPress Easy Invoice w wersjach 2.1.19 i wcześniejszych.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H