CVE-2024-6500Критический

Плагин InPost for WooCommerce и плагин InPost PL для WordPress уязвимы для несанкционированного доступа и удаления данных из-за отсутствия …

CVSS

10.0

Критический

EPSS

0.01

p57

Опубликовано

2024-01-01

Обновлено

2024-01-01

Описание

Плагин InPost for WooCommerce и плагин InPost PL для WordPress уязвимы для несанкционированного доступа и удаления данных из-за отсутствия проверки возможностей в функции 'parse_request' во всех версиях до 1.4.0 включительно (для InPost for WooCommerce), а также 1.4.4 (для InPost PL). Это делает возможным для неаутентифицированных злоумышленников читать и удалять произвольные файлы на серверах Windows. На серверах Linux будут удалены только файлы внутри установки WordPress, но все файлы могут быть прочитаны.

Теги · CWE

Без аутентификации

CWE-862

CAPEC-665

Вектор CVSS

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:H

Хронология

2024-01-01

Опубликована

2024-01-01

Обновлена

Разбор CVSS 3.1

Вектор атаки

AV: N

Сеть (N)

Сложность атаки

AC: L

Низкая (L)

Требуемые привилегии

PR: N

Отсутствуют (N)

Взаимодействие с пользователем

UI: N

Отсутствует (N)

Область воздействия

S: C

Изменена (C)

Воздействие на конфиденциальность

C: H

Высокое (H)

Воздействие на целостность

I: N

Отсутствует (N)

Воздействие на доступность

A: H

Высокое (H)

Индикаторы эксплуатации

EPSS

0.010 · p57

Известна эксплуатация (KEV)

Нет

MITRE ATT&CK

Выводимые через CAPEC

T1211Эксплуатация для предотвращения обнаружения

└ через CAPEC-665 · CWE-862

T1542.002Прошивка компонентов

└ через CAPEC-665 · CWE-862

T1556Изменение процесса аутентификации

└ через CAPEC-665 · CWE-862

Проверки Сканер-ВС

Проверок Сканер-ВС для этой уязвимости в базе пока нет.

Нет уязвимостей под заданные фильтры.

Связанные уязвимости

BDU:2024-07036