Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2021-47940 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2021 |
| Data publikacji | 2026-05-10 |
| Producent | WordPress |
| Produkt | Download From Files (plugin) |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Wtyczka WordPress Download From Files w wersji 1.48 i wcześniejszych zawiera podatność dowolnego przesyłania plików, która umożliwia nieuwierzytelnionym atakującym wgrywanie złośliwych plików poprzez wykorzystanie akcji AJAX fileupload. Atakujący mogą wysyłać żądania POST do punktu końcowego admin-ajax.php z akcją download_from_files_617_fileupload, manipulując parametrem allowExt w celu obejścia ograniczeń typów plików i wgrania plików wykonywalnych, takich jak PHP shell, do katalogu głównego serwisu.
Wymagane działania
Zastosuj poprawki lub środki zaradcze producenta najszybciej, jak będą dostępne.
Kogo dotyczy?
Podatność dotyczy produktu Download From Files (plugin) firmy WordPress. Sprawdź czy Twoja organizacja używa tego oprogramowania i czy wymaga aktualizacji.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
