ГлавнаяБаза уязвимостей БДУ → BDU:2023-08947
10критическая

BDU:2023-08947

Уязвимость функции _single_file_upload() плагина MW WP Form (mw-wp-form) системы управления содержимым сайта WordPress, позволяющая нарушителю загружать произвольные файлы и выполнить произвольный код
Опубликовано: 2023-12-21
Описание

Уязвимость функции _single_file_upload() плагина MW WP Form (mw-wp-form) системы управления содержимым сайта WordPress связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, загружать произвольные файлы и выполнить произвольный код

Затрагиваемое ПО и версии
MW WP Form (mw-wp-form) (до 5.0.1 включительно)
Способ устранения

Использование рекомендаций:
https://wordpress.org/plugins/mw-wp-form/#description
https://mw-wp-form.web-soudan.co.jp/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://safe-surf.ru/upload/VULN-new/VULN.2023-12-15.1.pdfhttps://vuldb.com/ru/?id.246795https://www.wordfence.com/blog/2023/12/update-asap-critical-unauthenticated-arbitrary-file-upload-in-mw-wp-form-allows-malicious-code-execution/
Проверьте безопасность своего сайта и почты → Полная проверка домена