Podatność w wtyczce Product Slider Pro for WooCommerce pozwala na implantację złośliwego oprogramowania (backdoor) z powodu nieprawidłowej walidacji danych wejściowych. Ocena CVSS 10.0 oznacza maksymalne ryzyko — atakujący nieuwierzytelniony może przejąć pełną kontrolę nad systemem.
▸ Pokaż oryginał (EN)
Improper Validation of Specified Quantity in Input vulnerability in ShapedPlugin, LLC Product Slider Pro for WooCommerce allows Malicious Software Implanted. This issue affects Product Slider Pro for WooCommerce: from n/a before 3.5.4.
Błąd klasyfikowany jako CWE-1284 (Improper Validation of Specified Quantity in Input) polega na braku właściwej weryfikacji wartości ilościowych w danych przekazywanych do wtyczki. Wykorzystanie tej luki umożliwia wszczepienie złośliwego kodu (Malicious Software Implanted) bezpośrednio w środowisko WordPress. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika, a zasięg ataku przekracza granicę komponentu (Scope: Changed).
Atakujący może zaimplantować backdoor na serwerze, co prowadzi do pełnego naruszenia poufności, integralności oraz dostępności danych i systemu. Skutkiem może być trwały nieautoryzowany dostęp do zainfekowanej witryny WordPress.
Należy niezwłocznie zaktualizować wtyczkę Product Slider Pro for WooCommerce do wersji 3.5.4 lub nowszej. Administratorzy powinni również przeskanować witrynę pod kątem obecności złośliwego kodu lub nieautoryzowanych zmian w plikach, które mogły nastąpić przed instalacją patcha.
Wtyczka WordPress Product Slider Pro for WooCommerce autorstwa ShapedPlugin, LLC — wersje od n/a do 3.5.3 (przed 3.5.4).
Według referencji Patchstack podatność dotyczy konkretnie wersji 3.5.2 wtyczki i została opisana jako 'backdoor vulnerability'. Strona referencyjna wskazuje na możliwość wszczepienia backdoora w kod wtyczki.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H