Wtyczka WooCommerce PDF Invoice Builder w wersjach do 2.0.8 zawiera krytyczną podatność klasy Code Injection umożliwiającą zdalne wykonanie kodu (RCE). Brak wymagań uwierzytelnienia i pełny zakres wpływu (poufność, integralność, dostępność) sprawiają, że zagrożenie jest natychmiastowe.
▸ Pokaż oryginał (EN)
Improper Control of Generation of Code ('Code Injection') vulnerability in Edgar Rojas WooCommerce PDF Invoice Builder allows Remote Code Inclusion. This issue affects WooCommerce PDF Invoice Builder: from n/a through 2.0.8.
Podatność wynika z nieprawidłowej kontroli generowania kodu (CWE-94), co umożliwia atakującemu zdalnie wstrzyknąć i wykonać dowolny kod przez mechanizm Remote Code Inclusion. Atak nie wymaga uwierzytelnienia ani interakcji użytkownika, a wektor sieciowy i niska złożoność ataku czynią go trywialnym do przeprowadzenia. Zakres podatności wykracza poza kontekst samej wtyczki (S:C), co oznacza możliwość wpływu na całe środowisko serwerowe.
Atakujący może przejąć pełną kontrolę nad serwerem hostującym witrynę WordPress — odczytać, zmodyfikować lub usunąć dane, zainstalować backdoor lub przeprowadzić lateral movement w infrastrukturze.
Należy niezwłocznie zaktualizować wtyczkę WooCommerce PDF Invoice Builder do wersji wyższej niż 2.0.8 zgodnie z informacjami dostępnymi w repozytorium WordPress oraz w bazie Patchstack. Do czasu aktualizacji zaleca się dezaktywację wtyczki.
Wtyczka WordPress WooCommerce PDF Invoice Builder autorstwa Edgara Rojasa w wersjach od początku istnienia do 2.0.8 włącznie.
Podatność została udokumentowana przez Patchstack. Szczegóły techniczne dostępne pod adresem: https://patchstack.com/database/wordpress/plugin/woo-pdf-invoice-builder/vulnerability/wordpress-woocommerce-pdf-invoice-builder-plugin-2-0-8-remote-code-execution-rce-vulnerability
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H