Kritična ranjivost WordPress dodatka utječe na više od 200.000 web stranica
Otkrivena je mogućnost neautentificiranog proizvoljnog prijenosa datoteke u dodatku MW WP Form za WordPress što se smatra kao kritična sigurnosna greška
Istraživači u Wordfenceu objavili su upozorenje i obavijesti o ranjivosti koja neautentificiranom napadaču omogućava daljinjsko izvršavanje koda.
Konkretno to znači mogućnost učitavanja proizvoljnih datoteka, uključujući PHP datoteke, i postizanje daljinskog izvršavanja koda na poslužitelju ranjive stranice kada je omogućena opcija 'Spremanje podataka upita u bazu podataka' u postavkama obrasca.
Ova sigurnosna greška u dodatku MW WP Form utječe na verzije 5.0.1 i starije ovog dodatka.
Inače, to je dodatak koji pojednostavljuje kreiranje prilagođenih formi koji nudi dodatne validacije, prikaz grafikona prema unesenim podacima, korištenje kratkih kodova [mwform_file name=”file”] (eng. shortcodes). i dr.
Upravo ta specifična značajka korištenja kratkih kodova se može iskoristiti u ovoj ranjivosti koja ima ocjenu 9.8 od 10 po važnosti.
Ranjivost je u potpunosti riješena u verziji 5.0.2 dodatka tj. jedino rješenje je ažuriranje dodatka.
